Reaguoti turėtų visi „WhatsApp“ naudotojai: klaida atskleidė milijardus telefonų numerių, niekas to nepastebėjo

Naujas tyrimas atskleidė, kad iki visai neseniai bet kas galėjo gauti kiekvieno „WhatsApp“ vartotojo telefono numerį. Tam nereikėjo nei įgūdžių, nei įsilaužimo įrankių, sistema pati parodydavo informaciją. Ši spraga buvo tokia paprasta, kad mokslininkai ją išnaudojo net be techninių gudrybių.

Dėl šios klaidos buvo galima surinkti vartotojų numerius, profilio nuotraukas ir net jų būsenos tekstus. Tai kelia klausimą, kodėl tokia ryški problema liko neišspręsta daugybę metų, nors į ją buvo atkreiptas dėmesys dar 2017 metais.

Kaip tyrėjai atrado spragą?

Austrijos tyrėjai tiesiog išbandė didžiulį kiekį telefono numerių, kaip tai darytų bet kuris vartotojas. Jei numeris turėjo „WhatsApp“ paskyrą, sistema parodydavo profilio duomenis. Jokio įsilaužimo, jokios kenkėjiškos programos, tai tik masinis numerių tikrinimas.

Naudodami „WhatsApp Web“ jie sugebėjo patikrinti apie 100 mln. numerių per valandą. Taip per trumpą laiką surinko visų „WhatsApp“ naudotojų numerius, o daugiau nei pusei jų ir profilio nuotraukas. Tai rodo, kad problema buvo ne saugumo apėjimas, o paprasto apsaugos trūkumo.

Kuo pavojinga tokia spraga?

Turėdami milijardus numerių, nusikaltėliai galėjo kurti tikslias telefoninių sukčių duomenų bazes. Profilių nuotraukos ir tekstai galėjo padėti apsimesti vartotojais. Tokios informacijos užtenka pradėti „fišingo“ kampanijas ar socialinės inžinerijos atakas.

Nors „Meta“ teigia, kad nėra įrodymų, jog duomenys buvo naudojami piktavališkai, tokios garantijos negarantuoja saugumo. Spraga egzistavo daugelį metų, todėl reali žala gali būti tiesiog nepastebėta arba sunkiai atsekama.

Kaip „Meta“ reagavo?

Tyrėjai informavo Meta apie spragą 2024 metų balandį. Tik spalį buvo įdiegta greičio ribojimo funkcija, kuri neleidžia tikrinti milijonų numerių per valandą. Tai pirmas realus žingsnis mažinant riziką ir apsaugant „WhatsApp“ vartotojų duomenis.

„Meta“ pabrėžė, kad buvo prieinami tik vieši duomenys ir kad vartotojai gali patys apriboti, kas mato jų nuotraukas ir aprašymus. Vis dėlto atsakomybė negali būti perkelta vien vartotojams, tai sistema turėjo būti saugesnė iš karto.

Ką tai reiškia „WhatsApp“ vartotojams?

Šis atvejis parodė, kad net didžiausios platformos nėra apsaugotos nuo paprastų, bet pavojingų klaidų. Telefonų numeriai yra jautrūs duomenys, galintys sukelti realias grėsmes vartotojams. Todėl svarbu reguliariai tikrinti privatumo nustatymus.

Nors spraga pagaliau užtaisyta, ši istorija primena, kad patogumas dažnai ateina saugumo sąskaita. „WhatsApp“ vartotojai turėtų būti budrūs ir žinoti, kaip elgtis saugiai internete, ypač kai kalbama apie asmeninę informaciją.