افشای فاجعهبار: شماره تلفن تمام کاربران واتساپ در دستان هکرها!
نقض امنیتی واتساپ منجر به نشت اطلاعات شماره تلفن و عکس پروفایل کاربران دانشگاه وین شد.
محققان اتریشی موفق به استخراج شماره تلفن ۳.۵ میلیارد کاربر واتساپ از طریق یک نقص امنیتی در سیستم «کشف مخاطب» این پیامرسان شدهاند. این یافته در صورت عدم انجام به عنوان یک تحقیق علمی، میتوانست بزرگترین نشت اطلاعاتی تاریخ رقم بزند.
نقض امنیتی در سیستم «کشف مخاطب» واتساپ
دانشگاه وین اتریش با بهرهگیری از مکانیزمی که واتساپ برای سهولت استفاده کاربران طراحی کرده، توانست به لیستی عظیم از شماره تلفنهای فعال در این پیامرسان دست یابد. این قابلیت به کاربران اجازه میدهد تا با وارد کردن شماره تلفن، از عضویت یا عدم عضویت آن شماره در واتساپ مطلع شوند. محققان با توسعه اسکریپتهایی که این فرآیند را به صورت گسترده و میلیاردی انجام میدادند، توانستند تقریباً تمامی کاربران جهانی واتساپ را شناسایی کنند. عدم وجود محدودیت از سوی متا در تعداد درخواستهای وارده، به محققان اجازه میداد تا حدود ۱۰۰ میلیون شماره را در هر ساعت بررسی کنند.
دسترسی به اطلاعات جانبی کاربران
علاوه بر شماره تلفنها، اطلاعات دیگری نظیر عکس پروفایل و بخش «About» کاربران نیز در دسترس قرار گرفت. بر اساس این پژوهش، عکس پروفایل ۵۷ درصد کاربران و متن بخش بیوگرافی ۲۹ درصد آنها قابل مشاهده عمومی بوده است. اگرچه محققان پس از اتمام پروژه این پایگاه داده را پاک کردند، اما این حجم از اطلاعات میتوانست در اختیار کلاهبرداران و اسپمرها قرار گیرد. ترکیب شماره تلفن، عکس پروفایل و نام کاربری میتواند به ساخت پروفایلهای جعلی و حملات فیشینگ منجر شود. همچنین در کشورهایی که استفاده از واتساپ ممنوع است، این اطلاعات میتوانند برای شناسایی کاربران مورد استفاده قرار گیرند.
سابقه هشدارها و اقدامات اصلاحی
این اولین بار نیست که متا نسبت به این نقص امنیتی هشدار دریافت میکند. در سال ۲۰۱۷ نیز یک محقق هلندی به مشابه این مشکل اشاره کرده بود، اما متا در آن زمان مدعی شد که تنظیمات حریم خصوصی به درستی کار میکنند. تحقیق جدید نشان داد که پس از گذشت ۸ سال، نه تنها مشکل برطرف نشده، بلکه ابعاد آن به ۳.۵ میلیارد کاربر گسترش یافته بود. پس از دریافت نتایج تحقیق در ماه اکتبر، متا با اعمال محدودیت نرخ درخواست، جلوی بررسیهای انبوه شماره تلفن را گرفته است. سخنگوی واتساپ نیز اعلام کرده است که شواهدی مبنی بر سوءاستفاده مخرب از این روش پیدا نکرده و اطلاعات فاش شده، عمومی بوده است.
