Опція імен користувачів у WhatsApp допоможе обмежити витік даних

ОНОВЛЕННЯ: WhatsApp повторив, що це не було недоліком безпеки, і що немає жодних доказів масового вилучення даних в результаті цих висновків. WhatsApp переглянув свої обмеження швидкості, щоб вирішити будь-яке потенційне зловживання цими елементами. 

Гей, пам’ятаєте, як я повідомляв раніше цього місяця, що WhatsApp незабаром дозволить використовувати імена користувачів замість номерів телефонів як основний ідентифікатор у додатку?

Так, виявляється, для цього є причина безпеки: австрійські дослідники виявили, що можна просто ввести кожну можливу комбінацію номерів телефонів за допомогою автоматизованого процесу та знайти контактну інформацію, включаючи ім’я та зображення профілю, для кожного існуючого користувача WhatsApp.

Що, за їхніми словами, є суттєвим недоліком безпеки, який материнська компанія WhatsApp, Meta, роками не виправляла.

Як повідомляє Wired , команда австрійських дослідників безпеки використала цей метод, щоб витягти з платформи номери телефонів 3,5 мільярда користувачів.

Згідно з Wired :

«Близько 57% цих користувачів також виявили, що мають доступ до фотографій своїх профілів, а ще 29% – до тексту у своїх профілях. Незважаючи на попереднє попередження про розкриття цих даних WhatsApp від іншого дослідника у 2017 році, за їхніми словами, материнська компанія сервісу, Meta, все ще не змогла обмежити швидкість або кількість запитів на виявлення контактів, які дослідники могли робити, взаємодіючи з браузерним додатком WhatsApp, що дозволило їм перевіряти приблизно сто мільйонів номерів на годину »

Використовуючи це, ви можете створити досить повну базу даних імен та номерів телефонів, яку можна використовувати для будь-яких цілей.

Відтоді дослідники поділилися своїми висновками з Meta, яка запровадила нові обмеження швидкості у відповідь, щоб запобігти використанню цього як вектора масового збору даних.

Але навіть з урахуванням обмежень швидкості це залишається проблемою безпеки, і, ймовірно, саме тому Meta зараз переходить до використання імен користувачів як ідентифікатора, щоб вирішити проблеми щодо потенційного вилучення даних.

Щоб було зрозуміло, обсяг інформації, до якої парсер може отримати доступ через WhatsApp, все ще обмежений, доступні лише основні дані профілю через зіставлення номерів телефонів, тоді як користувачі також можуть зробити свій профіль приватним, щоб захистити себе від подібного.

Meta також заявляє, що не знайшла жодних доказів зловживання цим елементом з боку зловмисників, водночас підкреслюючи, що фактичні повідомлення користувачів залишаються конфіденційними та захищені стандартним наскрізним шифруванням WhatsApp.

Отже, загалом, це не є масовим витоком даних, але це може дозволити зловмисникам створювати бази даних імен користувачів та номерів для використання в шахрайській діяльності.

Таким чином, можна очікувати, що WhatsApp у майбутньому докладатиме більше зусиль щодо імен користувачів, оскільки він прагне вирішити будь-які проблеми, а також відстежуватиме зловживання зіставленням номерів телефонів для захисту користувачів WhatsApp.

Це менший ризик витоку даних, але ризик є в будь-якому разі, і тому має сенс, що Meta пропонуватиме альтернативні варіанти, щоб допомогти обмежити потенційну шкоду.

WhatsApp надав SMT таку заяву:

«Ми вдячні дослідникам Віденського університету за їхнє відповідальне партнерство та старанність у рамках нашої програми Bug Bounty. Ця співпраця успішно визначила нову техніку перерахунку, яка перевищила наші заплановані межі, дозволивши дослідникам збирати базову загальнодоступну інформацію. Ми вже працювали над провідними в галузі системами захисту від скрейпінгу, і це дослідження відіграло важливу роль у стрес-тестуванні та підтвердженні негайної ефективності цих нових засобів захисту. Важливо, що дослідники безпечно видалили дані, зібрані в рамках дослідження, і ми не знайшли жодних доказів зловмисників, які зловживають цим вектором. Нагадуємо, що повідомлення користувачів залишалися конфіденційними та захищеними завдяки стандартному наскрізному шифруванню WhatsApp, і дослідники не мали доступу до жодних непублічних даних».