대규모 WhatsApp 보안 위반으로 인해 지구상 거의 모든 사용자의 전화번호가 노출되었습니다. 모회사인 Meta가 2017년 초에 이 취약점에 대해 경고를 받았음에도 불구하고 말입니다.
보안 연구원들은 메시징 서비스에서 총 35억 개의 전화번호를 추출하기 위해 “간단한” 익스플로잇을 사용할 수 있었습니다.
연구원들은 만약 악의적인 행위자가 동일한 익스플로잇을 사용했다면 그 결과는 “역사상 최대 규모의 데이터 유출”이 되었을 것이라고 말합니다.
개인 정보 보호 실패의 가장 심각한 측면은 다른 보안 연구원이 8년 전에 Meta에게 문제에 대해 경고했지만 그 동안 회사는 문제를 해결하는 데 필요한 매우 간단한 보호 장치를 구현하지 못했다는 것입니다.
열광한 보고서.
WhatsApp의 대량 채택은 메시징 플랫폼에서 새 연락처를 찾는 것이 얼마나 쉬운지에 부분적으로 기인합니다. 개인의 전화번호를 추가하면 WhatsApp에 해당 사용자가 서비스에 있는지 여부와 프로필 사진 및 이름도 즉시 표시됩니다.
가능한 모든 전화번호에 대해 이 동일한 트릭을 수십억 번 반복한다는 것이 밝혀졌으며 동일한 기능은 지구상의 거의 모든 WhatsApp 사용자의 휴대폰 번호는 물론 많은 경우 각 사용자를 식별하는 프로필 사진 및 텍스트를 얻는 편리한 방법이 될 수 있습니다.
2017년 보안 연구원은 회사가 수행할 수 있는 전화번호 확인 횟수에 제한을 두지 않아 이러한 유형의 공격이 허용된다는 사실을 발견했습니다. 놀랍게도 8년 후, 비엔나 대학의 오스트리아 연구원 그룹은 거의 모든 WhatsApp 사용자의 전화번호를 얻기 위해 똑같은 결함을 악용하는 데 성공했습니다.
최초의 3천만 개의 미국 전화번호를 캡처하는 데는 30분밖에 걸리지 않았고 그 후에도 계속해서 캡처되었습니다.
이번 연구에 참여했던 비엔나 대학교 연구원 중 한 명인 Aljosha Judmayer는 “우리가 아는 한, 이는 지금까지 기록된 전화번호 및 관련 사용자 데이터의 노출 중 가장 광범위한 노출입니다.”라고 말했습니다.
물론 연구원들은 전화번호 데이터베이스를 삭제하고 메타에 경고하는 등 책임감 있게 행동했습니다. 회사에서는 해당 기능이 이러한 규모로 악용되는 것을 방지하기 위해 속도 제한 조치를 구현하는 데 약 6개월이 더 걸렸습니다.
WhatsApp은 이미 이 문제를 해결하기 위해 노력 중이며 악의적인 행위자가 이 결함을 악용한다는 증거를 찾지 못했다고 말했습니다.
주요 액세서리
Unsplash에 Camilo Jimenez가 찍은 사진
FTC: 우리는 자동 수익 창출 제휴 링크를 사용합니다. 더.
