Godinama je jednostavna značajka WhatsAppa, pronalaženje korisnika putem telefonskog broja, bila i njegova najveća sigurnosna rupa. Austrijski istraživački tim demonstrirao je su kako su, koristeći banalnu metodu, mogao pristupiti bazi podataka gotovo svakog korisnika na svijetu.
Glavni adut WhatsAppa oduvijek je bila jednostavnost: ako imate nečiji broj mobitela, imate i njegov kontakt na WhatsAppu. No, upravo je taj mehanizam do nedavno predstavljao ogroman sigurnosni rizik. Skupina austrijskih istraživača nedavno je razotkrila da su, koristeći automatizirane alate, uspjeli izdvojiti telefonske brojeve svih 3,5 milijardi korisnika ove platforme.
Osim samih brojeva, razmjeri prikupljenih podataka su zabrinjavajući: za približno 57% korisnika istraživači su uspjeli preuzeti profilne fotografije, dok su za 29% njih dohvatili i tekstualne opise profila (About).
Ono što ovaj slučaj čini posebno zanimljivim, ali i zastrašujućim, jest činjenica da nije bilo potrebno nikakvo sofisticirano "black hat" hakiranje, probijanje enkripcije ili krađa lozinki. Metoda je bila disarmirajuće jednostavna.
Istraživači su koristili WhatsApp Web, sučelje za preglednike, te pokrenuli skriptu koja je masovno pokušavala dodati nasumične nizove brojeva. Sustav bi potom uredno odgovorio postoji li korisnički račun povezan s tim brojem te, ako postoji, prikazao javno dostupne podatke poput fotografije i statusa.
Riječ je o istoj radnji koju svakodnevno radite kada spremite novi broj u imenik, samo pomnoženoj milijardama puta. Sustav nije imao adekvatnu zaštitu od masovnih upita, što je istraživačima omogućilo provjeru oko 100 milijuna telefonskih brojeva na sat.
Posebno je problematična reakcija Mete, krovne kompanije WhatsAppa. Iako su na isti ovaj propust bili upozoreni još 2017. godine od strane drugog istraživača, konkretni koraci nisu poduzeti godinama. To znači da su zlonamjerni akteri, od marketinških agencija do hakerskih skupina, teoretski imali otvoren put do baze korisnika gotovo cijelo desetljeće.
Austrijski tim ponovno je upozorio Metu na ovaj problem u travnju ove godine. Srećom, ovaj put reakcija je uslijedila, iako ne trenutno. Do listopada, kompanija je implementirala tzv. rate-limiting (ograničenje broja zahtjeva), čime je napokon onemogućeno ovakvo masovno i brzo prikupljanje podataka.
U svojoj službenoj reakciji, Meta pokušava umanjiti ozbiljnost situacije. Naglašavaju da su svi prikupljeni podaci zapravo "osnovne javno dostupne informacije" te da profilne fotografije i statusi nisu bili izloženi kod korisnika koji su u postavkama privatnosti ograničili njihovu vidljivost.
Tvrtka također uvjerava javnost kako "nisu pronašli dokaze da su zlonamjerni akteri zloupotrijebili ovaj vektor napada" te ističu da istraživači nisu imali pristup nikakvim privatnim, odnosno nejavnim podacima (poput sadržaja poruka).
Ipak, za stručnjake za sigurnost ostaje gorak okus zbog spoznaje da je jedan od najpopularnijih komunikacijskih servisa na svijetu godinama ostavljao "otključana vrata" do svoje kompletne baze korisnika.
