Изследователи в Австрия са използвали уязвимост в WhatsApp, за да съберат личните данни на повече от 3.5 милиарда потребители в това, което според тях е най-голямото изтичане на данни в историята.

Платформата за съобщения позволява на потребителите да търсят данните на други хора, като въведат техните телефонни номера. Функцията, която е част от платформата от години, може да бъде злоупотребена за извличане на потребителски данни, включително телефонен номер, име и в някои случаи профилна снимка, ако потребителят е задал такава.

Използвайки тази функция, изследователите успяха да съберат данни на потребители с темп от над 100 милиона акаунта на час, като въведоха 63 милиарда телефонни номера, генерирани с помощта на инструмент, който са създали, използвайки базовата технология на libphonenumber на Google.

При типични настройки платформите разчитат на ограничаване на скоростта, за да предотвратят този вид злоупотреба, но WhatsApp все пак позволи изброяване в такъв мащаб, без изследователите да „срещнат блокиране или ефективно ограничаване на скоростта“.

Изследователите пишат: „За наша изненада нито IP адресите, нито акаунтите ни бяха блокирани от WhatsApp. Освен това не срещнахме никакво ограничаване на скоростта. С нашата скорост на заявки от 7000 телефонни номера в секунда (и сесия) успяхме да потвърдим 3.5 милиарда телефонни номера, регистрирани в WhatsApp (надхвърляйки „повече от 2 милиарда души“, официално обявени от WhatsApp)“.

Повече от 57% от активните акаунти, които са преброили, са имали профилна снимка, като две трети от тях са съдържали разпознаваеми човешки лица, което според изследователите може да се използва за създаване на обратна телефонна книга, в която изображението на дадено лице разкрива други подробности за него.

Около 29% имаха текст в профила си, който също можеше да даде по-пълна представа за всеки потребител.

Репортери, изследователи и други заинтересовани страни често могат да разгледат отразяването на нарушенията на данните, да видят, че са включени само основни лични данни, и да заключат, че сериозността на тези инциденти, реалистично погледнато, е доста ниска, като се има предвид, че често това вече е обществено достояние.

Въпреки това текстът, включен в профилите, в някои случаи може да разкрие допълнителна чувствителна информация за потребителя, като сексуална ориентация, политически възгледи, употреба и трафик на наркотици, връзки към други платформи като LinkedIn и Tinder, както и професионални имейл адреси.

По отношение на последното, изследователите успяха да свържат изброените телефонни номера и с правителствени и военни служители. Освен това няколко държави забраняват WhatsApp: Китай, Мианмар и Северна Корея са забележителни примери, докато други държави като Иран и Сенегал са налагали забрани в миналото, но по-късно ги отмениха. Въпреки това милиони активни WhatsApp акаунти са свързани с телефонни номера, регистрирани в тези страни.

Страни като Китай са известни с преследването на хора за нарушаване на правилата, като заобикаляне на забраните за WhatsApp и други платформи. Последствията могат да включват задържане и изпращане в лагери за превъзпитание. По-малко критично, но все пак свързано е потенциалът за злоупотреба от киберпрестъпници и нарушители.

Изследователите заявиха: „Мащабните бази данни с регистрирани телефонни номера могат да бъдат злоупотребени от хакери. Тъй като регистрираният номер обикновено показва активно устройство, тези списъци са надеждна основа за спам, фишинг или автоматизирани телефонни атаки“. Те също така предупреждават, че това повдига въпроса колко дълго тази информация остава валидна и следователно подлежи на злоупотреба.

Снимка: Pexels

Виж още: Motorola залага на промени в дизайна и конфигурацията за новия си флагман Razr 70 Ultra