گروهی از محققان اتریشی با بهرهگیری از یک نقص ساده در سیستم «کشف مخاطب» واتساپ، موفق شدند شماره تلفن ۳.۵ میلیارد کاربر این پیامرسان را استخراج کنند. اگر این پروژه در قالب یک تحقیق علمی انجام نمیشد، میتوانستیم شاهد بزرگترین نشت اطلاعاتی تاریخ باشیم.
به گزارش وایرد، محققان میگویند مکانیسم سادهای که واتساپ برای راحتی کاربران طراحی کرده، به پاشنه آشیل آن تبدیل شده است. این اپلیکیشن به شما اجازه میدهد تا با واردکردن شماره تلفن، بلافاصله بفهمید که آیا صاحب آن شماره عضو واتساپ است یا خیر.
محققان دانشگاه وین اتریش از همین ویژگی استفاده کردند. آنها با نوشتن اسکریپتهایی که شمارههای تلفن مختلف را بهصورت رگباری و میلیاردی بررسی میکرد، توانستند تقریباً لیست تمام کاربران واتساپ در جهان را استخراج کنند. نکته عجیب ماجرا اینجاست که متا هیچ محدودیتی برای تعداد این درخواستها قائل نشده بود و محققان میتوانستند در هر ساعت، وضعیت حدود ۱۰۰ میلیون شماره را چک کنند.
افشای شماره تلفن و اطلاعات کاربران واتساپ
علاوهبر خود شماره تلفنها، اطلاعات جانبی دیگری نیز در دسترس قرار گرفت. طبق یافتههای این تیم تحقیقاتی، عکس پروفایل ۵۷ درصد کاربران برای عموم قابل مشاهده بود. ۲۹ درصد کاربران نیز متن بخش About یا بیوگرافیشان در دسترس بود. اگرچه محققان پس از پایان پروژه این دیتابیس بزرگ را پاک کردند، اما این حجم از داده میتوانست خوراک بزرگی برای کلاهبرداران و اسپمرها باشد.
شاید فکر کنید داشتن شماره تلفن و عکس پروفایل چندان خطرناک نیست، اما ترکیب این اطلاعات میتواند عواقب جدی داشته باشد. برای مثال کلاهبرداران با داشتن عکس و نام شما میتوانند پروفایلهای جعلی بسازند و به دوستانتان پیام دهند. همچنین در کشورهایی مانند چین یا میانمار که استفاده از واتساپ ممنوع است، دولتها میتوانند با استفاده از همین روش، کاربران این اپ را شناسایی کنند.
محققان همچنین متوجه شدند که برخی حسابها (احتمالاً اکانتهای اسپم یا نسخههای غیررسمی واتساپ) از کلیدهای رمزنگاری تکراری استفاده میکنند که امنیت پیامها را به خطر میاندازد.
این اولینبار نیست به متا درباره این نقص امنیتی هشدار داده میشود. در سال ۲۰۱۷، یک محقق هلندی دقیقاً به همین مشکل اشاره کرد و گفت که میتوان با این روش، دیتابیسی گسترده از اطلاعات کاربران ساخت و حتی زمان آنلاینشدن آنها را رصد کرد. بااینحال، متا در آن زمان این موضوع را نادیده گرفت و مدعی شد که تنظیمات حریم خصوصی واتساپ به درستی کار میکنند. اما تحقیق جدید نشان داد که با گذشت ۸ سال، نهتنها مشکل حل نشده بود، بلکه ابعاد آن به ۳.۵ میلیارد کاربر گسترش یافته بود.
البته این شرکت در ماه اکتبر با دریافت نتایج تحقیق دانشگاه وین سیستمهای دفاعی خود را تقویت کرد. اکنون متا با اعمال محدودیت نرخ درخواست، جلوی بررسیهای انبوه شماره تلفن را گرفته است. همچنین سخنگوی واتساپ در بیانیهای اعلام کرد که هیچ شواهدی مبنی بر سوءاستفاده مخرب از این روش پیدا نکردهاند و تأکید کرد که اطلاعات فاششده (مثل عکس پروفایل)، اطلاعاتی بوده که خود کاربران تصمیم گرفتهاند عمومی باشد.