“WhatsApp” ir viena no lielākajām saziņas platformām pasaulē, ko izmanto vairāk nekā 3,5 miljardi cilvēku. Tās popularitāte lielā mērā balstās uz vienkāršu darbības principu – saziņai pietiek tikai ar tālruņa numuru. Tomēr tieši šī ērtā funkcija gadiem ilgi slēpa sevī nopietnu drošības ievainojamību.
Vienkārša kļūda, kas atklāja miljardiem numuru
Jauns pētījums atklāja, ka vēl pavisam nesen ikviens varēja iegūt jebkura “WhatsApp” lietotāja tālruņa numuru. Tam nebija vajadzīgas ne speciālas zināšanas, ne uzlaušanas rīki – sistēma pati parādīja nepieciešamo informāciju. Drošības kļūda bija tik primitīva, ka pētnieki to spēja izmantot bez jebkādiem tehniskiem trikiem.
Šīs kļūdas dēļ bija iespējams masveidā savākt lietotāju numurus, profila bildes un pat statusa tekstus. Tas liek jautāt, kā tik acīmredzama problēma varēja palikt nenovērsta gadiem ilgi, lai gan uz to uzmanība tika vērsta jau 2017. gadā.
Jums varētu patikt šie:
Kā pētnieki atklāja kļūdu?
Austrijas pētnieki vienkārši pārbaudīja milzīgu tālruņa numuru apjomu tāpat, kā to darītu parasts lietotājs. Ja aiz numura slēpās “WhatsApp” konts, sistēma parādīja attiecīgo profila informāciju. Netika izmantota ne ielaušanās, ne ļaunatūra – tā bija vienkārši masveidīga numuru pārbaude.
Izmantojot “WhatsApp Web”, pētnieki varēja pārbaudīt aptuveni 100 miljonus numuru stundā. Īsā laikā viņiem izdevās apkopot visu “WhatsApp” lietotāju tālruņa numurus un vairāk nekā pusei – arī profila bildes. Tas parāda, ka problēma neslēpās drošības mehānismu apiešanā, bet gan tajā, ka elementāri aizsardzības pasākumi vienkārši neeksistēja.
Kur slēpās apdraudējums?
Ja noziedzniekiem ir piekļuve miljardiem tālruņa numuru, viņi var izveidot ļoti precīzas telefona krāpniecības datubāzes. Profila bildes un statusa teksti ļauj vieglāk atdarināt izvēlētos upurus. Ar šādu informāciju pietiek, lai uzsāktu mērķētas pikšķerēšanas kampaņas vai īstenotu sarežģītus sociālās inženierijas uzbrukumus.
Lai gan “Meta” apgalvo, ka nav pierādījumu par datu masveida ļaunprātīgu izmantošanu, tas nenozīmē, ka apdraudējuma nebija. Sistēmas trūkums pastāvēja gadiem, tāpēc reālie nodarītie kaitējumi var būt palikuši nepamanīti vai arī ir ļoti grūti izsekojami.
Kā reaģēja “Meta”?
Pētnieki par drošības ievainojamību informēja “Meta” 2024. gada aprīlī. Tikai oktobrī sistēmā tika ieviests ātruma ierobežojums, kas neļauj stundas laikā pārbaudīt miljoniem numuru. Tas bija pirmais būtiskais solis riska mazināšanai un “WhatsApp” lietotāju datu aizsardzībai.
Jums varētu patikt šie:
“Meta” uzsvēra, ka pieejami bijuši tikai publiskie dati un lietotāji paši var ierobežot, kas redz viņu bildes un aprakstus, izmantojot privātuma iestatījumus. Tomēr atbildību nevar pilnībā uzvelt lietotājiem – sistēmai jau no paša sākuma bija jābūt drošāk izstrādātai.
Ko tas nozīmē “WhatsApp” lietotājiem?
Šis gadījums apliecina, ka pat lielākās platformas nav pasargātas no vienkāršām, bet bīstamām kļūdām. Tālruņa numuri ir jutīgi personas dati, kuru noplūde var radīt ļoti reālus draudus – sākot ar krāpniecību un beidzot ar identitātes zādzību.
Lai gan drošības caurums tagad ir aizlāpīts, šis stāsts atgādina, ka ērtības bieži nāk uz drošības rēķina. “WhatsApp” lietotājiem jābūt vērīgiem un regulāri jāpārskata savi privātuma iestatījumi un uzvedība internetā, īpaši, ja runa ir par personisko informāciju.
