WhatsApp: Một lỗ hổng cho phép trích xuất 3.500 tỷ số điện thoại và dữ liệu hồ sơ.

Một cuộc điều tra học thuật đã tập trung sự chú ý vào lỗ hổng bảo mật trong hệ thống phát hiện liên lạc WhatsApp, khi được khai thác trên quy mô lớn, Nó cho phép xác minh số điện thoại và liên kết hàng loạt dữ liệu hồ sơ với số điện thoại đó.Phát hiện này mô tả cách một quy trình ứng dụng thông thường có thể trở thành nguồn tiếp xúc thông tin nếu được lặp lại với tốc độ công nghiệp.

Nghiên cứu do một nhóm từ Đại học Vienna dẫn đầu đã chứng minh rằng có thể kiểm tra sự tồn tại của các tài khoản hàng tỷ tổ hợp số thông qua phiên bản web, không có bất kỳ sự ngăn chặn hiệu quả nào trong nhiều tháng. Theo các tác giả, nếu quá trình đó không được thực hiện một cách có trách nhiệm, chúng ta sẽ nói về một trong những vụ rò rỉ dữ liệu lớn nhất từng được ghi nhận.

Khoảng cách này hình thành như thế nào: thống kê hàng loạt

Vấn đề không phải là phá vỡ mã hóa, mà là về điểm yếu về mặt khái niệm: công cụ tìm kiếm liên hệ của dịch vụ. WhatsApp cho phép người dùng kiểm tra xem số điện thoại đã được đăng ký hay chưa; việc lặp lại kiểm tra này một cách tự động và trên quy mô lớn đã mở ra cánh cửa cho việc theo dõi toàn cầu.

Các nhà nghiên cứu người Áo đã sử dụng giao diện web để liên tục kiểm tra số liệu, đạt tới tốc độ ước tính khoảng 100 triệu lần kiểm tra mỗi giờ không có bất kỳ giới hạn tốc độ hiệu quả nào trong suốt thời gian phân tích. Khối lượng đó đã tạo nên một quá trình khai thác chưa từng có.

Kết quả của thí nghiệm đã được khẳng định: họ đã có thể thu được số điện thoại từ 3.500 tỷ tài khoản của WhatsApp. Ngoài ra, họ còn có thể liên kết dữ liệu hồ sơ công khai cho một phần đáng kể mẫu đó.

Cụ thể, nhóm nghiên cứu lưu ý rằng Ảnh đại diện được truy cập trong 57% trường hợp và văn bản trạng thái công khai hoặc thông tin bổ sung được truy cập trong 29%.Mặc dù các trường này phụ thuộc vào cấu hình của từng người dùng, nhưng việc tiếp xúc ở quy mô lớn sẽ làm tăng rủi ro.

• 3.500 tỷ số đã được xác minh là đã đăng ký trên WhatsApp.
• 57% có ảnh đại diện có thể truy cập công khai.
• 29% có văn bản hồ sơ có thể tìm kiếm được.

Những cảnh báo trước đó không được chú ý kịp thời

Điểm yếu của phép liệt kê không phải là hoàn toàn mới: đã có vào năm 2017nhà nghiên cứu người Hà Lan Loran Kloeze Ông cảnh báo rằng có thể tự động hóa việc kiểm tra số liệu và liên kết chúng với dữ liệu có thể nhìn thấy được.Lời cảnh báo đó đã báo trước tình hình hiện tại.

Công trình gần đây của Vienna đã đưa ý tưởng đó lên một tầm cao mới và cho thấy rằng sự phụ thuộc vào số điện thoại vì một mã định danh duy nhất vẫn còn là vấn đềNhư các tác giả chỉ ra, các con số Chúng không được thiết kế để hoạt động như thông tin xác thực bí mậtNhưng trên thực tế, họ đảm nhiệm vai trò đó trong nhiều dịch vụ.

Một kết luận có liên quan khác của nghiên cứu này là phần lớn thông tin cá nhân vẫn giữ được giá trị theo thời gian: Nhóm nghiên cứu phát hiện ra rằng 58% số điện thoại bị lộ thông tin trong vụ rò rỉ dữ liệu Facebook năm 2021 Họ vẫn hoạt động trên WhatsApp cho đến ngày nay., tạo điều kiện cho các mối tương quan và chiến dịch liên tục.

Bên cạnh những con số, Quá trình truy vấn hàng loạt cho phép suy ra một số siêu dữ liệu kỹ thuật nhất địnhthích anh ấy loại máy khách hoặc hệ điều hành nhân viên và sự hiện diện của phiên bản máy tính để bàn, giúp tăng thêm diện tích bề mặt để lập hồ sơ.

Phản hồi của Meta: giới hạn tốc độ và lập trường chính thức

Các nhà nghiên cứu Họ đã báo cáo phát hiện này cho Meta vào tháng 4 và xóa cơ sở dữ liệu được tạo ra sau khi xác thực.Về phần mình, công ty đã triển khai nó vào tháng 10 các biện pháp hạn chế tỷ lệ chặt chẽ hơn để ngăn chặn việc liệt kê số lượng lớn thông qua web.

Trong các tuyên bố gửi đến các phương tiện truyền thông chuyên ngành, Meta bày tỏ lòng biết ơn đối với thông báo thông qua chương trình của mình phần thưởng thất bại Ông nhấn mạnh rằng thông tin hiển thị là những gì mỗi người dùng đã thiết lập để hiển thị. Ông cũng tuyên bố rằng ông không tìm thấy bằng chứng nào cho thấy phương pháp này bị lạm dụng một cách có chủ đích.

Công ty nhấn mạnh rằng tin nhắn vẫn được bảo vệ do mã hóa đầu cuối và không có dữ liệu không công khai nào bị truy cập. Không có dấu hiệu nào cho thấy hệ thống mật mã đã bị phá vỡ.

Sau một số cuộc họp kỹ thuật, WhatsApp đã thưởng cho nghiên cứu này Đô la Mỹ 17.500Đối với nhóm, quá trình này có mục đích đo lường và kiểm tra hiệu quả của các biện pháp phòng thủ mới được triển khai sau khi nhận được thông báo.

Rủi ro thực sự: từ gian lận đến nhắm mục tiêu ở các quốc gia có lệnh cấm

Ngoài khía cạnh kỹ thuật, tác động chính của việc tiếp xúc này là thực tế. Với số điện thoại và thông tin hồ sơ được hiển thị, mọi việc trở nên dễ dàng hơn nhiều. xây dựng các chiến dịch kỹ thuật xã hội và các vụ lừa đảo có chủ đích lợi dụng thông tin theo ngữ cảnh của từng nạn nhân.

Các nhà nghiên cứu cũng đã xác định được hàng triệu tài khoản đang hoạt động ở những vùng lãnh thổ mà WhatsApp bị cấm, chẳng hạn như Trung Quốc, Iran hoặc MyanmarViệc hiển thị những con số này có thể gây ra hậu quả về mặt cá nhân hoặc pháp lý cho người dùng trong bối cảnh giám sát chặt chẽ.

Sự sẵn có rộng rãi của điện thoại hợp lệ làm tăng thư rác, doxxing và lừa đảo với mức độ chính xác cao hơn, đặc biệt khi ảnh đại diện hoặc văn bản công khai cung cấp manh mối về danh tính, việc làm hoặc mạng xã hội được liên kết.

Điều đáng ghi nhớ là, một khi được thêm vào các cơ sở dữ liệu khổng lồ, thông tin có thể lưu hành trong nhiều năm, kết hợp với các rò rỉ khác để làm giàu hồ sơ và tăng hiệu quả của các cuộc tấn công.

Châu Âu và Tây Ban Nha: tại sao điều này lại quan trọng ở đây

Ở Tây Ban Nha và các nước EU khác, nơi WhatsApp phổ biến, việc tiết lộ thông tin ở quy mô này lo ngại về tác động tiềm tàng của nó đối với hàng triệu người dùng và doanh nghiệpMặc dù Meta đã sửa phương pháp liệt kê, sự cố này lại khơi lại cuộc tranh luận về thiết kế dựa trên số điện thoại.

Vụ việc liên quan đến một nhóm đại học châu Âu này là lời nhắc nhở rằng ngay cả những tính năng được thiết kế để thuận tiện—như tìm kiếm danh bạ ngay lập tức— Họ có thể trở thành các tác nhân gây rủi ro nếu không có các biện pháp phòng thủ vững chắc và liên tục được xác minh.

Nó cũng nhấn mạnh sự cần thiết phải thiết lập cài đặt quyền riêng tư một cách cẩn thận. Nếu ảnh đại diện hoặc văn bản công khai tiết lộ nhiều thông tin hơn mức cần thiết, việc chúng bị phơi bày rộng rãi sẽ trở thành một hệ số nhân mối đe dọa dành cho người dùng cá nhân và chuyên nghiệp.

Đối với các tổ chức và cơ quan hành chính châu Âu có nghĩa vụ bảo mật, Việc hạn chế khả năng hiển thị dữ liệu và tăng cường các thủ tục xác minh nội bộ bên ngoài ứng dụng giúp giảm bề mặt tấn công các chiến dịch mạo danh hoặc lừa đảo.

Những gì bạn có thể làm ngay bây giờ

Trong trường hợp không có mã định danh thay thế, Sự bảo vệ tốt nhất cho người dùng liên quan đến điều chỉnh các tùy chọn quyền riêng tư của hồ sơ và áp dụng thói quen nhắn tin thận trọng.

• Giới hạn ảnh đại diện và thông tin ở mức “Danh bạ của tôi” hoặc “Không ai cả”.
• Tránh đưa dữ liệu nhạy cảm hoặc liên kết cá nhân vào văn bản trạng thái..
• Hãy cảnh giác với những tin nhắn bất ngờ, ngay cả khi chúng hiển thị tên hoặc ảnh của bạn.
• Xác minh bất kỳ yêu cầu thanh toán hoặc khẩn cấp nào thông qua kênh thứ cấp.

Mặc dù con đường cụ thể cho việc thống kê hàng loạt đã bị đóng, tập này bằng chứng cho thấy sự kết hợp giữa các mã định danh công khai và những sơ suất nhỏ trong kiểm soát có thể dẫn đến những rủi ro rất lớnViệc hạn chế tối đa những thông tin mà người khác có thể thấy về tài khoản của bạn sẽ hạn chế tác động của các kỹ thuật thu thập thông tin trong tương lai.

Nghiên cứu của Áo cho thấy rằng Một chức năng chung có thể được khai thác trên quy mô công nghiệp để xác thực hàng tỷ số và liên kết các hồ sơ có thể nhìn thấy được với chúng.Meta đã thắt chặt các giới hạn và khẳng định rằng không có bằng chứng về việc lạm dụng, nhưng rủi ro kỹ thuật xã hộiNhững phát hiện ở các quốc gia có lệnh cấm và lưu trữ dữ liệu nhấn mạnh nhu cầu xem xét lại thiết kế dựa trên số điện thoại và khuyến khích thói quen bảo mật nghiêm ngặt hơn ở người dùng châu Âu.