WhatsApp a remediat recent o vulnerabilitate care a permis identificarea a aproximativ 3,5 miliarde de conturi înregistrate, deși platforma spune că are aproximativ 3 miliarde de utilizatori activi.
Breșa provenea din modul în care aplicația răspundea la verificările automate prin API-ul de „contact discovery”, care returna informații pentru toate numerele de telefon înregistrate vreodată, inclusiv conturi inactive sau abandonate.
Cercetătorii de la Universitatea din Viena și SBA Research au arătat că limitele impuse de WhatsApp pentru astfel de interogări puteau fi depășite cu ușurință: au generat miliarde de numere de telefon valide, au trimis solicitări către serverele WhatsApp și au reușit să verifice peste 100 milioane de numere pe oră, fără ca platforma să blocheze IP-ul sau să aplice rate-limiting.
În urma acestui proces, cercetătorii au identificat peste 3,5 miliarde de conturi.
Pe lângă confirmarea existenței conturilor, cercetătorii au putut colecta și date publice suplimentare precum fotografii de profil, textul din secțiunea „Despre” și diverse alte date.
O parte considerabilă a utilizatorilor avea fotografii de profil vizibile public, ceea ce ridică riscuri majore în contextul instrumentelor moderne de recunoaștere facială.
Specialiștii avertizează că astfel de informații ar putea fi folosite pentru construirea unui serviciu de tip „reverse phone book”, care să identifice persoane după fotografie și să asocieze imaginii numere de telefon sau alte detalii.
În secțiunea „Despre”, mulți utilizatori lasă vizibile informații sensibile, de la opinii politice și identitate sexuală până la apartenență religioasă sau linkuri către conturi OnlyFans ori adrese de e-mail profesionale, date care sunt de regulă destinate contactelor, nu publicului larg.
Analiza a arătat și utilizarea pe scară largă a WhatsApp în țări unde serviciul este interzis. Cercetătorii au găsit aproape 60 milioane de conturi în Iran înainte de ridicarea interdicției și 67 milioane ulterior, 2,3 milioane de conturi în China, 1,6 milioane în Myanmar și cinci în Coreea de Nord.
Ei au constatat, de asemenea, că 58% dintre numerele de telefon expuse în scurgerea de date a Facebook din 2021 sunt încă active pe WhatsApp, ceea ce arată cât de persistente sunt aceste date și cât timp pot rămâne utile pentru atacatori.
Meta a fost notificată în aprilie prin programul său de tip bug bounty, iar WhatsApp a început luna trecută implementarea unor limite mult mai stricte pentru a preveni scraping-ul.
Nitin Gupta, vicepreședinte WhatsApp, a declarat că platforma lucra deja la sisteme anti-scraping de nivel industrial și a subliniat că mesajele utilizatorilor rămân protejate de criptarea end-to-end.
Totuși, cercetătorii avertizează că faptul că au putut obține aceste date fără restricții sugerează că și alți actori ar fi putut exploata aceeași breșă fără să fie detectați.
Pentru utilizatori, specialiștii recomandă evitarea publicării de informații sensibile în secțiunea „Despre”, limitarea vizibilității fotografiei de profil doar la contacte și reducerea cantității de date publice asociate numărului de telefon, care funcționează ca un identificator pe termen lung.
