Masowe przyjęcie WhatsApp wynika to po części z łatwości znalezienia nowego kontaktu na platformie komunikacyjnej: dodaj numer telefonu danej osoby, a WhatsApp natychmiast pokaże, czy dana osoba korzysta z usługi, a często także jej zdjęcie profilowe i imię.
Okazuje się, że tę samą sztuczkę powtarzasz kilka miliardów razy z każdym możliwym numerem telefonu, a ta sama funkcja może również służyć jako wygodny sposób na uzyskanie numeru telefonu komórkowego niemal każdego użytkownika WhatsApp na świecie – wraz z, w wielu przypadkach, zdjęciami profilowymi i tekstem identyfikującym każdego z tych użytkowników. Rezultatem jest powszechne ujawnienie danych osobowych znacznej części światowej populacji.
Grupa austriackich badaczy wykazała teraz, że była w stanie zastosować tę prostą metodę sprawdzania każdego możliwego numeru w kontakcie WhatsApp w celu odnalezienia kontaktów, aby wyodrębnić numery telefonów 3,5 miliarda użytkowników tej usługi przesyłania wiadomości. Około 57 procent tych użytkowników stwierdziło również, że może uzyskać dostęp do swoich zdjęć profilowych, a kolejne 29 procent do tekstu na swoich profilach. Pomimo wcześniejszego ostrzeżenia innego badacza dotyczącego ujawniania tych danych w WhatsApp w 2017 r., twierdzą, spółka-matka tej usługi, Meta, nadal nie ograniczyła szybkości ani liczby próśb o ujawnienie danych kontaktowych, jakie badacze mogą wysyłać poprzez interakcję z aplikacją WhatsApp opartą na przeglądarce, która pozwala im sprawdzić około stu milionów numerów na godzinę.
Rezultatem byłby „największy wyciek danych w historii, gdyby nie zostały zebrane w ramach odpowiedzialnie przeprowadzonego badania”, jak opisują naukowcy w artykule dokumentującym ich ustalenia.
„O ile nam wiadomo, jest to najszerszy w historii przypadek ujawnienia numerów telefonów i powiązanych z nimi danych użytkowników” – stwierdziła Aljosha Judmayer, jeden z badaczy z Uniwersytetu Wiedeńskiego, który pracował nad badaniem.
Naukowcy twierdzą, że w kwietniu powiadomili Met o swoich ustaleniach i usunęli swoje kopie 3,5 miliarda numerów telefonów. Do października firma rozwiązała problem z umieszczeniem na liście, wprowadzając bardziej rygorystyczne środki „ograniczające liczbę”, które zapobiegają stosowaniu przez badaczy metody masowego odkrywania kontaktów. Jednak do tego czasu ujawnienie danych mogło zostać wykorzystane przez kogokolwiek innego, stosując tę samą technikę skrobania, dodaje Max Günther, inny badacz na uniwersytecie, który był jednym z autorów artykułu. „Gdybyśmy mogli to osiągnąć bardzo łatwo, inni mogliby zrobić to samo” – mówi.
W oświadczeniu dla WIRED Meta podziękowała badaczom, którzy zgłosili swoje odkrycie za pośrednictwem systemu Meta „bug bounty” i określiła ujawnione dane jako „podstawowe informacje publicznie dostępne”, ponieważ zdjęcia profilowe i tekst nie były udostępniane użytkownikom, którzy zdecydowali się ustawić je jako prywatne. „Pracowaliśmy już nad wiodącymi w branży systemami zapobiegającymi zarysowaniu, a to badanie odegrało kluczową rolę w testach obciążeniowych i potwierdzeniu natychmiastowej skuteczności tych nowych zabezpieczeń” – pisze Nitin Gupta, wiceprezes ds. inżynierii w WhatsApp. Gupta dodaje: „Nie znaleźliśmy żadnych dowodów na to, że szkodliwe podmioty wykorzystywały ten wektor. Przypominamy, że wiadomości użytkowników pozostały prywatne i bezpieczne dzięki domyślnemu, kompleksowemu szyfrowaniu WhatsApp, a badacze nie mieli dostępu do żadnych niepublicznych danych”.
