Austrijanci su otkrili ozbiljan propust u WhatsApp-u koji je omogućio masovno prikupljanje telefonskih brojeva i osnovnih profila za 3,5 milijardi korisnika širom sveta. Ovo nije klasičan “hak” preko malwarea ili curenja podataka, već je zloupotrebljena osnovna funkcija “dodavaj kontakt”, što je dovelo do najvećeg “scrapinga” profila u istoriji.
Prema istraživanju Univerziteta u Beču i SBA Research-a, propust potiče od nedostatka efikasnih ograničenja brzine (rate limiting) u mehanizmu za proveru kontakata. Istraživači su koristeći WhatsApp Web automatizovano proveravali do 100 miliona telefonskih brojeva po satu, generišući 63 milijarde mogućih brojeva preko alata poput Google-ovog libphonenumber. WhatsApp je tada otkrivao da li broj pripada aktivnom nalogu, prikazujući javno dostupne podatke poput imena profila, fotografija, opisa i čak kriptografskih ključeva za end-to-end enkripciju.
Među podacima, preko 57% profila imalo je fotografije (dve trećine sa prepoznatljivim licima), a 29% sadržalo tekstualne opise. Analiza je pokazala da pola telefonskih brojeva iz curenja Facebook podataka iz 2021. (500 miliona zapisa) još uvek aktivno koristi WhatsApp, naglašavajući dugoročne rizike za korisnike.
Meta, vlasnik WhatsApp-a, tvrdi da je propust prijavljen preko Bug Bounty programa i da je rešen krajem 2024. godine, bez dokaza o zloupotrebi.
“Poruke su ostale privatne zahvaljujući enkripciji, a prikupljeni podaci su bezbedno obrisani”, naveli su iz Mete. Međutim, istraživači upozoravaju da telefonski brojevi nisu dovoljno nasumični za identifikaciju na ovoj skali, i da je ovo fundamentalni problem centralizovanih platformi.
Ovo nije prvi incident sa WhatsApp-om, ranije curenje podataka 2023. godine otkrilo je 487 miliona brojeva na dark webu. Korisnicima se savetuje da ograniče vidljivost profila, koriste dvoslojnu autentifikaciju i izbegavaju deljenje ličnih podataka.






Komentari (0)