Уязвимость WhatsApp раскрыла данные 3,5 млрд профилей по всему миру

  • Автор Автор PavRC_Bot
  • Дата публикации Опубликовано Опубликовано
Комментарии

Утечка данных WhatsApp: 3,5 млрд профилей в открытом доступе

Уязвимость WhatsApp раскрыла данные 3,5 млрд профилей по всему миру​

Команда из Венского университета выявила критическую уязвимость в веб-версии WhatsApp, которая позволяла собирать данные о миллиардах пользователей без взлома и без обхода защиты. Исследователи продемонстрировали, что сервис охотно принимал массовые запросы на проверку номеров телефонов и возвращал сведения о профилях. Это превратило мессенджер в огромный источник открытых данных.

Как работала уязвимость​

Суть проблемы оказалась удивительно простой. Веб-версия WhatsApp позволяла отправлять огромное количество автоматизированных запросов на проверку определённого номера. В ответ сервис выдавал информацию: существует ли аккаунт, есть ли аватар, указан ли статус, добавлена ли публичная информация.

Подобный запрос можно было отправлять миллионами. То есть любой скрипт мог перебрать массив телефонных номеров и получить огромную базу данных зарегистрированных пользователей. Уязвимость не требовала взлома, обхода шифрования или установки вредоносного ПО — всё делалось средствами публичного веб-клиента.

Масштаб утечки: 3,5 миллиарда профилей​

Исследователи провели эксперимент и создали массив данных из более чем 3,5 млрд подтверждённых номеров WhatsApp. В половине случаев были доступны аватарки, у значительной части — статусы, а в отдельных регионах открытой оказалась информация более чем о двух третях пользователей.

Фактически любой желающий мог собрать глобальную базу учётных записей WhatsApp с минимальными техническими знаниями. Это делает утечку одной из крупнейших в истории мессенджеров, несмотря на то, что речь идёт о публичных данных, а не о содержимом переписок.

Почему это опасно даже при отсутствии переписки​

Переписка WhatsApp действительно защищена сквозным шифрованием, но данные профиля — нет. Массовый сбор номеров, аватаров и статусов создаёт угрозы совсем другого уровня:
— профилирование пользователей по странам и городам;
— отслеживание активности по обновлениям статусов;
— сопоставление номеров с утечками других сервисов;
— построение социальных графов;
— риск для людей в странах, где WhatsApp считается запрещённым или подозрительным.

Особенно опасной ситуация признана для Китая и Мьянмы. В таких регионах сам факт использования WhatsApp может быть уголовно значимым, а раскрытие номеров — угрозой для жизни.

Реакция Meta и почему проблему заметили не сразу​

Хотя уязвимость обсуждалась ещё в 2017 году, компания Meta долгие годы не ограничивала автоматический перебор и не внедряла защиту от массовых запросов. Только после публикации свежего отчёта исследователей ограничение наконец было добавлено.

Meta заявляет, что утекали исключительно публичные данные профилей и что пользовательская переписка остаётся полностью защищённой. Однако масштабы сбора информации оказались настолько большими, что даже «публичность» не стала оправданием — исследовательское сообщество жёстко раскритиковало слабую защиту сервиса.

Почему услуга «пробива» так распространена на чёрном рынке​

Сервисы, которые торгуют информацией, используют именно такие уязвимости. По номеру телефона они пробивают аватар, статус, время последнего обновления и сопутствующие данные. Это не взлом и не кража информации, а использование слабых API-ограничений крупных платформ.

Подобные механизмы — причина, по которой многие обменные сервисы или псевдо-платформы легко «сливают» информацию о своих клиентах. Достаточно передать номер — и система сама соберёт досье.

Почему WhatsApp должен был решить проблему много лет назад​

Проблема массового перебора номеров известна с момента появления WhatsApp Web. Исследователи неоднократно предупреждали Meta о рисках, однако компания продолжала считать их «незначительными», поскольку данные формально являются публичными. На практике это привело к тому, что злоумышленники могли собирать массивы профилей по масштабам, сопоставимым с населением Земли.

Только после свежего исследования компания ввела защиту от массовых запросов — но критики уверены, что меры приняты слишком поздно, а последствия утечки будут разворачиваться ещё долго.

Что это значит для пользователей​

Хотя переписки остались в безопасности, сама уязвимость подчёркивает важный факт: любые данные, которые пользователь делает публичными — фото, статус, подпись — рано или поздно могут быть собраны в огромную базу. WhatsApp остаётся удобным мессенджером, но его подход к защите метаданных явно требует обновления.

Тем, кто использует сервис в странах с репрессивной политикой, эксперты рекомендуют минимизировать открытые данные профиля или вовсе скрыть личную информацию.

Редакция PavRC

Источник: Forklog

Связанные темы

Теги Теги
Meta whatsapp исследование кибербезопасность Номера Пользователей приватность Профили Утечка Данных Уязвимость

Больше в Мессенджеры и связь

В России заговорили о возможной блокировке WhatsApp: что известно

В России сообщили о массовых сбоях WhatsApp в нескольких регионах

Shiva о мессенджерах и монополии Telegram: прогноз сбылся?

На границе с ЕС жители Псковской области жалуются на блокировки SIM-карт

СМИ скрывают название мессенджера Max в новостях о мошенниках

Товарищ майор переводит домовые чаты в мессенджер MAX

Комментарии

Нет комментариев для отображения

Информация

Автор
PavRC_Bot
Опубликовано
Просмотры
32

Больше от PavRC_Bot

Поделиться этой новостью

Назад
Сверху Снизу