Istraživači sa Univerziteta u Beču otkrili su ozbiljan bezbednosni propust u WhatsApp-u koji omogućava pristup javno postavljenim profilnim podacima korisnika uključujući profilne fotografije, statuse i dodatne informacije samo na osnovu broja telefona. Propust omogućava masovno prikupljanje podataka bez ikakvog ograničavanja pristupa.
Iako je poznato da je dovoljno uneti nečiji broj telefona kako bi se videla njegova profilna fotografija, do sada nije bilo jasno da ovaj mehanizam može dovesti do ovako velikog obima zloupotrebe.
Masovno prikupljanje podataka bez ograničenja
Istraživači su uspeli da automatizuju proces i preuzmu više od 100 miliona brojeva telefona na sat, bez reakcije zaštitnih mehanizama WhatsApp-a. Na osnovu prikupljenih podataka identifikovano je 3,5 milijardi aktivnih naloga širom sveta.
Prema pisanju uglednog IT magazina Heise, ovo predstavlja „najveće curenje profilnih podataka u istoriji“.
Uz brojeve telefona, istraživači su prikupili i informacije iz javno postavljenih profilnih fotografija i statusa. Na osnovu tih podataka moguće je prepoznati:
-
politička i lična uverenja,
-
versku pripadnost,
-
fotografije dece i članova porodice,
-
linkove ka ličnim nalozima na drugim platformama,
-
pa čak i poslovne i službene kontakte.
Slučaj ukazuje na to koliko javno dostupni podaci iako deluju bezazleno mogu otkriti o korisniku.
Zloupotrebe: fišing, prevare i nadzor korisnika
Korisnici pogođeni ovakvim curenjem podataka mogu postati mete:
-
fišing poruka,
-
prevara i socijalnog inženjeringa,
-
neželjenih komercijalnih poziva,
-
targetiranog nadzora, posebno u zemljama gde je WhatsApp zabranjen.
Posebno zabrinjava činjenica da je identifikovano više miliona aktivnih naloga iz zemalja poput Kine i Mjanmara, gde korišćenje WhatsApp-a može dovesti korisnike u rizik od sankcija i nadzora.
Podaci takođe ukazuju na postojanje organizovanih prevarantskih mreža: u Mjanmaru i Nigeriji pronađeni su nalozi koji dele iste bezbednosne ključeve, što upućuje da više prevaranata koristi jedan profil kako bi kontaktirali žrtve.
Meta reagovala tek nakon godinu dana
Istraživači su o propustu obavestili kompaniju Meta još u septembru 2024. godine, ali su njihova upozorenja dugo ostala bez odgovora. Tek nakon najave objavljivanja studije, Meta je zvanično reagovala i uvela dodatne bezbednosne mere.
Preporuke: kako korisnici mogu da se zaštite
Kako bi smanjili rizik od potencijalnih zloupotreba, korisnicima se preporučuje da ograniče vidljivost svojih profilnih podataka.
Podešavanje privatnosti u WhatsApp aplikaciji:
Podešavanja → Privatnost → Profilna fotografija / Informacije → Samo kontakti
Ovim podešavanjem značajno se smanjuje mogućnost automatizovanog preuzimanja vaših podataka.
Važno: WhatsApp poruke nisu bile kompromitovane, jer su i dalje šifrovane od kraja do kraja. Ipak, ovaj slučaj pokazuje koliko su profilni podaci i metadata — koje korisnici često zanemaruju — vredni za napadače i mogu otkriti iznenađujuće mnogo informacija.