Populárna komunikačná aplikácia WhatsApp mala bezpečnostnú chybu, na základe ktorej bolo ohrozených až 3,5 miliardy telefónnych čísel používateľov. Podľa portálu 9to5Mac rozsiahla bezpečnostná chyba odhalila telefónne čísla takmer každého používateľa. Stalo sa to napriek tomu, že spoločnosť Meta bola na chybu upozornená už v roku 2017.
Podľa bezpečnostných výskumníkov bolo možné cez „jednoduchý exploit“ extrahovať celkovo 3,5 miliardy telefónnych čísel. Pričom rovnaký exploit sa použil aj v ďalších prípadoch, ktoré viedli k „najväčšiemu úniku údajov v histórii“.
WhatsApp ignoroval chybu
Zarážajúcim faktom je, že v tomto prípade úplne zlyhali zásady ochrany súkromia používateľov. Bezpečnostný výskumník totižto upozornil spoločnosť Meta, ktorá vlastní WhatsApp, na túto chybu už pred ôsmimi rokmi. Meta však nezaviedla ochranné opatrenia a ani nevykonala potrebné preskúmanie chyby.
Ako dodáva portál Wired, nejde len o samotné telefónne čísla. Chyba totižto umožňovala odhaliť meno používateľa a zobraziť aj jeho profilovú fotografiu. Stačilo postupne vkladať telefónne čísla do nástroja na vyhľadávanie kontaktov priamo v aplikácii WhatsApp.
Chyba bola jednoduchá
Bezpečnostnú chybu mohol zneužiť prakticky ktokoľvek a nebolo nutné, aby ste boli extra technicky zdatní. Ako sme naznačili, stačilo postupne zadávať telefónne čísla. Útočník mohol pokojne zadávať neznáme a náhodné čísla a WhatsApp mu okamžite prezradil, či toto číslo platformu využíva. Zároveň zobrazil aj nastavené meno používateľa a prípadne profilovú fotografiu, ak ju mal používateľ nastavenú ako verejnú.
Bezpečnostný výskumník už pred ôsmimi rokmi zistil, že spoločnosť neposkytuje žiaden limit na počet kontrol telefónnych čísel. Jednotlivý používateľ tak mohol vykonať kontrol toľko, koľko chcel. Práve to umožnilo uskutočniť takýto druh útoku a odhaliť neuveriteľné množstvo telefónnych čísel.
Problém v aplikácii WhatsApp pretrvával
„Neuveriteľné, ale o osem rokov neskôr sa skupine rakúskych výskumníkov z Viedenskej univerzity podarilo využiť tú istú chybu na získanie telefónneho čísla takmer každého používateľa WhatsAppu. Trvalo im len polhodiny, kým zachytili prvých 30 miliónov telefónnych čísel v USA, a potom už len pokračovali,“ uviedol portál 9to5Mac.
Jeden z výskumníkov z Viedenskej univerzity hovorí, že ide o najrozsiahlejšie známe odhalenie telefónnych čísel a ďalších súvisiacich používateľských údajov.
Čo na to hovorí Meta
Výskumníci z Viedenskej univerzity okamžite kontaktovali spoločnosť Meta a databázu telefónnych čísel vymazali. Zároveň Metu na tento problém upozornili, avšak trvalo približne polroka, kým Meta zaviedla potrebné opatrenia. Aktuálne sa už táto funkcia nedá zneužívať v masovom meradle. WhatsApp zároveň tvrdí, že nenašiel žiadne dôkazy o tom, že by túto chybu zneužívali podvodníci.
Zástupca spoločnosti Meta po zverejnení článku kontaktoval redakciu portálu 9to5Mac a zaslala takéto vyhlásenie.
„Sme vďační výskumníkom z Univerzity vo Viedni za ich zodpovedné partnerstvo a usilovnosť v rámci nášho programu Bug Bounty. Táto spolupráca úspešne identifikovala novú techniku počítania, ktorá prekročila naše zamýšľané limity a umožnila výskumníkom získať základné verejne dostupné informácie. Už sme pracovali na špičkových systémoch proti scrapingu a táto štúdia bola kľúčová pri záťažovom testovaní a potvrdení okamžitej účinnosti týchto nových obranných opatrení. Dôležité je, že výskumníci bezpečne vymazali údaje zhromaždené v rámci štúdie a nenašli sme žiadne dôkazy o tom, že by tento vektor zneužívali škodlivé osoby. Pripomíname, že správy používateľov zostali súkromné a zabezpečené vďaka predvolenému šifrovaniu end-to-end vo WhatsAppe a výskumníci nemali prístup k žiadnym neverejným údajom.“
