వాట్సాప్: ఒక లోపం వల్ల 3.500 బిలియన్ నంబర్లు మరియు ప్రొఫైల్ డేటాను సేకరించగలిగారు.

ఒక విద్యా పరిశోధన వెలుగులోకి వచ్చింది కాంటాక్ట్ డిస్కవరీ సిస్టమ్‌లో భద్రతా లోపం వాట్సాప్, దీనిని పెద్ద ఎత్తున దోపిడీ చేసినప్పుడు, ఇది ఫోన్ నంబర్ల ధృవీకరణకు మరియు వాటితో ప్రొఫైల్ డేటాను సామూహికంగా అనుసంధానించడానికి అనుమతించింది.పారిశ్రామిక వేగంతో పునరావృతమైతే, ఒక సాధారణ యాప్ ప్రక్రియ సమాచార బహిర్గతంకు ఎలా మూలంగా మారుతుందో ఈ పరిశోధన వివరిస్తుంది.

వియన్నా విశ్వవిద్యాలయం నుండి ఒక బృందం నేతృత్వంలో జరిగిన ఈ అధ్యయనం, ఖాతాల ఉనికిని తనిఖీ చేయడం సాధ్యమని నిరూపించింది బిలియన్ల సంఖ్య కలయికలు వెబ్ వెర్షన్ ద్వారా, నెలల తరబడి ప్రభావవంతమైన బ్లాక్‌లు లేకుండా. రచయితల ప్రకారం, ఆ ప్రక్రియ బాధ్యతాయుతంగా నిర్వహించబడకపోతే, మనం దీని గురించి మాట్లాడుకునేవాళ్ళం ఇప్పటివరకు నమోదు చేయబడిన అతిపెద్ద డేటా ఎక్స్‌పోజర్‌లలో ఒకటి.

ఆ అంతరం ఎలా ఏర్పడింది: సామూహిక గణన

సమస్య ఎన్క్రిప్షన్ ను విచ్ఛిన్నం చేయడం గురించి కాదు, కానీ ఒక భావనాత్మక బలహీనత గురించి: ది కాంటాక్ట్ సెర్చ్ టూల్ సేవ యొక్క. వాట్సాప్ వినియోగదారులు ఫోన్ నంబర్ రిజిస్టర్ చేయబడిందో లేదో తనిఖీ చేయడానికి అనుమతిస్తుంది; ఈ తనిఖీని స్వయంచాలకంగా మరియు పెద్ద ఎత్తున పునరావృతం చేయడం ప్రపంచ ట్రాకింగ్‌కు తలుపులు తెరిచింది.

ఆస్ట్రియన్ పరిశోధకులు సంఖ్యలను నిరంతరం పరీక్షించడానికి వెబ్ ఇంటర్‌ఫేస్‌ను ఉపయోగించారు, గంటకు సుమారు 100 మిలియన్ చెక్కుల రేటు విశ్లేషించబడిన కాలంలో ఎటువంటి ప్రభావవంతమైన వేగ పరిమితులు లేకుండా. ఆ పరిమాణం అపూర్వమైన వెలికితీతను సాధ్యం చేసింది.

ప్రయోగం యొక్క ఫలితం నిశ్చయాత్మకమైనది: వారు పొందగలిగారు 3.500 బిలియన్ ఖాతాల నుండి ఫోన్ నంబర్లు వాట్సాప్. అదనంగా, వారు ఆ నమూనాలోని గణనీయమైన భాగానికి బహిరంగంగా అందుబాటులో ఉన్న ప్రొఫైల్ డేటాను అనుబంధించగలిగారు.

ముఖ్యంగా, బృందం దానిని గుర్తించింది 57% కేసులలో ప్రొఫైల్ చిత్రాలు యాక్సెస్ చేయబడ్డాయి మరియు 29% కేసులలో పబ్లిక్ స్టేటస్ టెక్స్ట్‌లు లేదా అదనపు సమాచారం యాక్సెస్ చేయబడ్డాయి.ఈ ఫీల్డ్‌లు ప్రతి వినియోగదారుడి కాన్ఫిగరేషన్‌పై ఆధారపడి ఉన్నప్పటికీ, స్కేల్‌లో వాటి ఎక్స్‌పోజర్ ప్రమాదాన్ని పెంచుతుంది.

• వాట్సాప్‌లో 3.500 బిలియన్ నంబర్లు నమోదయ్యాయని ధృవీకరించబడ్డాయి.
• 57% మంది పబ్లిక్‌గా యాక్సెస్ చేయగల ప్రొఫైల్ చిత్రంతో ఉన్నారు.
• శోధించదగిన ప్రొఫైల్ టెక్స్ట్‌తో 29%.

ముందస్తు హెచ్చరికలను సకాలంలో పట్టించుకోలేదు

గణన బలహీనత పూర్తిగా కొత్తది కాదు: ఇప్పటికే 2017 లో, డచ్ పరిశోధకుడు లోరాన్ క్లోజ్ సంఖ్యల తనిఖీని ఆటోమేట్ చేయడం మరియు వాటిని కనిపించే డేటాతో అనుబంధించడం సాధ్యమని ఆయన హెచ్చరించారు.ఆ హెచ్చరిక ప్రస్తుత పరిస్థితిని ముందే సూచించింది.

వియన్నా ఇటీవలి పని ఆ ఆలోచనను తీవ్రస్థాయికి తీసుకెళ్లింది మరియు చూపించాడు టెలిఫోన్ నంబర్ మీద ఆధారపడటం ఒక ప్రత్యేక గుర్తింపుదారుడిగా సమస్యాత్మకంగా ఉందిరచయితలు ఎత్తి చూపినట్లుగా, సంఖ్యలు అవి రహస్య ఆధారాలుగా పనిచేయడానికి రూపొందించబడలేదు.కానీ ఆచరణలో అవి అనేక సేవలలో ఆ పాత్రను నెరవేరుస్తాయి.

అధ్యయనం యొక్క మరొక సంబంధిత ముగింపు ఏమిటంటే, వ్యక్తిగత సమాచారంలో ఎక్కువ భాగం కాలక్రమేణా దాని విలువను నిలుపుకుంటుంది: 2021 ఫేస్‌బుక్ లీక్‌లో 58% ఫోన్‌లు బహిర్గతమయ్యాయని బృందం కనుగొంది వాళ్ళు నేటికీ వాట్సాప్‌లో యాక్టివ్‌గా ఉన్నారు., ఇది సహసంబంధాలు మరియు నిరంతర ప్రచారాలను సులభతరం చేస్తుంది.

సంఖ్యలతో పాటు, మాస్ క్వెరీ ప్రక్రియ కొన్ని సాంకేతిక మెటాడేటాను ఊహించడానికి అనుమతించింది., వంటి క్లయింట్ లేదా ఆపరేటింగ్ సిస్టమ్ రకం ఉద్యోగి మరియు డెస్క్‌టాప్ వెర్షన్‌ల ఉనికి, ఇది ప్రొఫైలింగ్ కోసం ఉపరితల వైశాల్యాన్ని జోడిస్తుంది.

మెటా ప్రతిస్పందన: వేగ పరిమితులు మరియు అధికారిక వైఖరి

పరిశోధకులు వారు ఈ విషయాన్ని ఏప్రిల్‌లో మెటాకు నివేదించారు మరియు దానిని ధృవీకరించిన తర్వాత జనరేట్ చేయబడిన డేటాబేస్‌ను తొలగించారు.కంపెనీ తన వంతుగా, అక్టోబర్‌లో దీనిని అమలు చేసింది కఠినమైన రేటు పరిమితి చర్యలు వెబ్ ద్వారా పెద్ద ఎత్తున గణనను నిరోధించడానికి.

ప్రత్యేక మీడియా సంస్థలకు పంపిన ప్రకటనలలో, మెటా తన కార్యక్రమం ద్వారా నోటిఫికేషన్‌కు కృతజ్ఞతలు తెలిపింది వైఫల్య బహుమతులు ప్రదర్శించబడే సమాచారం ప్రతి వినియోగదారుడు కనిపించేలా కాన్ఫిగర్ చేసినదేనని ఆయన నొక్కి చెప్పారు. ఈ పద్ధతి యొక్క హానికరమైన దుర్వినియోగానికి సంబంధించిన ఎటువంటి ఆధారాలు తనకు కనిపించలేదని కూడా ఆయన పేర్కొన్నారు.

కంపెనీ పట్టుబట్టింది ఏమిటంటే సందేశాలు సురక్షితంగా ఉన్నాయి ఎండ్-టు-ఎండ్ ఎన్‌క్రిప్షన్ కారణంగా మరియు పబ్లిక్ కాని డేటాను యాక్సెస్ చేయలేకపోవడం వల్ల. క్రిప్టోగ్రాఫిక్ వ్యవస్థ విచ్ఛిన్నమైందని ఎటువంటి సూచనలు లేవు.

అనేక సాంకేతిక సమావేశాల తర్వాత, వాట్సాప్ పరిశోధనకు ప్రతిఫలమిచ్చింది 20 డాలర్లునోటిఫికేషన్ తర్వాత మోహరించిన కొత్త రక్షణల ప్రభావాన్ని కొలవడానికి మరియు పరీక్షించడానికి ఈ ప్రక్రియ బృందానికి ఉపయోగపడింది.

నిజమైన నష్టాలు: నిషేధాలు ఉన్న దేశాలలో మోసం నుండి లక్ష్యం వరకు

సాంకేతిక అంశాలకు మించి, ఈ బహిర్గతం యొక్క ప్రధాన ప్రభావం ఆచరణాత్మకమైనది. ఫోన్ నంబర్ మరియు ప్రొఫైల్ సమాచారం కనిపించడంతో, ఇది చాలా సులభం అవుతుంది. సోషల్ ఇంజనీరింగ్ ప్రచారాలను నిర్మించడం మరియు ప్రతి బాధితుడి సందర్భోచిత సమాచారాన్ని దోపిడీ చేసే లక్ష్య స్కామ్‌లు.

వాట్సాప్ నిషేధించబడిన ప్రాంతాలలో మిలియన్ల కొద్దీ యాక్టివ్ ఖాతాలను పరిశోధకులు గుర్తించారు, ఉదాహరణకు చైనా, ఇరాన్ లేదా మయన్మార్ఈ సంఖ్యల దృశ్యమానత అధిక నిఘా సందర్భాలలో వినియోగదారులకు వ్యక్తిగత లేదా చట్టపరమైన పరిణామాలను కలిగిస్తుంది.

చెల్లుబాటు అయ్యే ఫోన్‌ల భారీ లభ్యత స్పామ్, డాక్సింగ్ మరియు ఫిషింగ్ అధిక స్థాయి ఖచ్చితత్వంతో, ప్రత్యేకించి ప్రొఫైల్ చిత్రం లేదా పబ్లిక్ టెక్స్ట్ గుర్తింపు, ఉపాధి లేదా లింక్ చేయబడిన సోషల్ నెట్‌వర్క్‌ల గురించి ఆధారాలను అందించినప్పుడు.

గుర్తుంచుకోవలసిన విషయం ఏమిటంటే, ఒకసారి భారీ డేటాబేస్‌లకు జోడించబడితే, సమాచారం సంవత్సరాల తరబడి చెలామణి అవుతూ, ఇతర లీక్‌లతో కలిసిపోతుంది. ప్రొఫైల్‌లను మెరుగుపరచండి మరియు దాడుల ప్రభావాన్ని పెంచుతాయి.

యూరప్ మరియు స్పెయిన్: ఇక్కడ ఇది ఎందుకు ముఖ్యమైనది

వాట్సాప్ సర్వవ్యాప్తంగా ఉన్న స్పెయిన్ మరియు మిగిలిన EU లలో, ఈ స్థాయిలో సమాచారం బహిర్గతం కావడం దాని సంభావ్య ప్రభావం గురించి ఆందోళన చెందుతున్నారు మిలియన్ల మంది వినియోగదారులు మరియు వ్యాపారాలుమెటా గణన పద్ధతిని సరిదిద్దినప్పటికీ, ఈ సంఘటన ఫోన్ నంబర్‌పై ఆధారపడిన డిజైన్ గురించి చర్చను తిరిగి తెరుస్తుంది.

యూరోపియన్ విశ్వవిద్యాలయ బృందంతో సంబంధం ఉన్న ఈ కేసు, తక్షణమే పరిచయాలను కనుగొనడం వంటి సౌకర్యాల కోసం రూపొందించబడిన లక్షణాలను కూడా గుర్తు చేస్తుంది. వారికి దృఢమైన మరియు నిరంతరం ధృవీకరించబడిన రక్షణలు లేకపోతే అవి ప్రమాద వాహకాలుగా మారవచ్చు..

ఇది గోప్యతా సెట్టింగ్‌లను జాగ్రత్తగా కాన్ఫిగర్ చేయవలసిన అవసరాన్ని కూడా హైలైట్ చేస్తుంది. ప్రొఫైల్ చిత్రం లేదా పబ్లిక్ టెక్స్ట్ అవసరమైన దానికంటే ఎక్కువ సమాచారాన్ని వెల్లడిస్తే, దాని విస్తృత బహిర్గతం ముప్పు గుణకం ప్రైవేట్ మరియు ప్రొఫెషనల్ వినియోగదారుల కోసం.

భద్రతా బాధ్యతలు కలిగిన యూరోపియన్ సంస్థలు మరియు పరిపాలనల కోసం, డేటా దృశ్యమానతను పరిమితం చేయడం మరియు యాప్ వెలుపల అంతర్గత ధృవీకరణ విధానాలను బలోపేతం చేయడం సహాయపడుతుంది దాడి ఉపరితలాన్ని తగ్గించండి వేషధారణ లేదా మోసపూరిత ప్రచారాలు.

మీరు ఇప్పుడు ఏమి చేయగలరు?

ప్రత్యామ్నాయ ఐడెంటిఫైయర్ లేనప్పుడు, వినియోగదారునికి ఉత్తమ రక్షణ అంటే సర్దుబాటు ఎంపికలు ప్రొఫైల్ గోప్యత మరియు వివేకవంతమైన సందేశ అలవాట్లను అలవర్చుకోండి.

• ప్రొఫైల్ చిత్రం మరియు సమాచారాన్ని “నా కాంటాక్ట్‌లు” లేదా “ఎవరూ లేరు” కి పరిమితం చేయండి..
• మీ స్టేటస్ టెక్స్ట్‌లో సున్నితమైన డేటా లేదా వ్యక్తిగత లింక్‌లను చేర్చకుండా ఉండండి..
• ఊహించని సందేశాల పట్ల జాగ్రత్తగా ఉండండి, అవి మీ పేరు లేదా ఫోటోను చూపించినప్పటికీ..
• ద్వితీయ ఛానెల్ ద్వారా ఏవైనా అత్యవసర లేదా చెల్లింపు అభ్యర్థనలను ధృవీకరించండి.

సామూహిక గణన కోసం నిర్దిష్ట మార్గం మూసివేయబడినప్పటికీ, ఈ ఎపిసోడ్ నియంత్రణలలో పబ్లిక్ ఐడెంటిఫైయర్‌లు మరియు చిన్న పర్యవేక్షణల కలయిక అపారమైన బహిర్గతాలకు దారితీస్తుందని రుజువు.మీ ఖాతాను ఇతరులు చూడగలిగే వాటిని కనిష్టంగా ఉంచడం వల్ల భవిష్యత్తులో పంట కోత పద్ధతుల ప్రభావం తగ్గుతుంది.

ఆస్ట్రియన్ పరిశోధన దానిని చూపించింది బిలియన్ల సంఖ్యలను ధృవీకరించడానికి మరియు వాటితో కనిపించే ప్రొఫైల్‌లను అనుబంధించడానికి పారిశ్రామిక స్థాయిలో ఒక సాధారణ విధిని ఉపయోగించుకోవచ్చు.మెటా పరిమితులను కఠినతరం చేసింది మరియు దుర్వినియోగానికి ఎటువంటి ఆధారాలు లేవని పేర్కొంది, కానీ సోషల్ ఇంజనీరింగ్ ప్రమాదాలునిషేధాలు మరియు డేటా నిలకడ ఉన్న దేశాలలో కనుగొన్న విషయాలు ఫోన్ నంబర్ ఆధారిత డిజైన్‌ను సమీక్షించాల్సిన అవసరాన్ని మరియు యూరోపియన్ వినియోగదారులలో కఠినమైన గోప్యతా అలవాట్లను ప్రోత్సహించాల్సిన అవసరాన్ని హైలైట్ చేస్తాయి.