Sveiki, pamenate, kaip anksčiau šį mėnesį pranešiau, kad „WhatsApp“ netrukus leis naudoti naudotojų vardus, o ne telefono numerius, kaip pagrindinį programos identifikatorių?
Taip, pasirodo, tai yra saugumo priežastis, nes Austrijos mokslininkai nustatė, kad galite tiesiog įvesti kiekvieną įmanomą telefono numerių derinį naudodami automatinį procesą ir rasti kiekvieno esamo WhatsApp vartotojo kontaktinę informaciją, įskaitant vardą ir profilio vaizdus.
Jie teigia, kad tai yra reikšmingas saugumo trūkumas, kurio „WhatsApp“ patronuojančiai bendrovei „Meta“ nepavyko išspręsti daugelį metų.
Kaip pranešė Wired, Austrijos saugumo tyrinėtojų komanda naudojo šį metodą iš platformos ištraukite 3,5 milijardo vartotojų telefonų numerių.
Pagal laidinį:
„Maždaug 57 proc. šių vartotojų taip pat nustatė, kad gali pasiekti savo profilio nuotraukas, o dar 29 proc. – tekstą savo profiliuose. Nepaisant ankstesnio įspėjimo apie tai, kad „WhatsApp“ atskleidė šiuos duomenis 2017 m. iš kito tyrėjo, jie teigia, kad paslaugos patronuojanti įmonė „Meta“ vis tiek nesugebėjo apriboti greičio ar kontaktų aptikimo užklausų skaičiaus. maždaug šimtas milijonų skaičių per valandą.“
Naudodami tai galite sukurti gana išsamią vardų ir telefonų numerių duomenų bazę, kuri bus naudojama bet kokiam jūsų pasirinktam tikslui.
Nuo to laiko mokslininkai pasidalijo savo išvadomis su Meta, kuri įdiegė naujus greičio apribojimus, kad neleistų žmonėms to naudoti kaip masinio grandymo vektoriaus.
Tačiau net ir esant greičio apribojimams, tai tebėra saugumo susirūpinimą kelianti problema, todėl tikėtina, kad „Meta“ dabar siekia naudoti vartotojo vardus kaip identifikatorių, kad išspręstų susirūpinimą dėl galimo duomenų nuvalymo.
Kad būtų aišku, informacijos kiekis, kurį grandiklis gali pasiekti per WhatsApp, vis dar yra ribotas, naudojant telefono numerio atitiktį pasiekiami tik pagrindiniai profilio duomenys, o vartotojai taip pat gali padaryti savo profilį privatų, kad apsisaugotų nuo tokių.
„Meta“ taip pat teigia, kad nerasta jokių įrodymų, kad kenkėjiški veikėjai piktnaudžiauja šiuo elementu, tačiau taip pat pabrėžiama, kad tikrieji vartotojų pranešimai išlieka privatūs ir apsaugoti naudojant numatytąjį „WhatsApp“ tiesioginį šifravimą.
Taigi, apskritai, tai nėra didžiulis duomenų atskleidimas, tačiau tai gali leisti piktybiniams veikėjams sukurti vartotojų vardų ir numerių duomenų bazes, kurios būtų naudojamos sukčiavimo veikloje.
Taigi galite tikėtis, kad „WhatsApp“ padarys didesnį postūmį naudotojų vardams, nes, atrodo, išspręs visus susirūpinimą keliančius klausimus, taip pat stebės, ar nėra piktnaudžiavimo telefono numerių suderinimu, kad apsaugotų „WhatsApp“ vartotojus.
Tai mažesnė duomenų poveikio rizika, tačiau rizika kyla bet kuriuo atveju, todėl prasminga, kad Meta siūlo alternatyvias galimybes, kurios padėtų sumažinti galimą žalą.
WhatsApp pateikė SMT šį pareiškimą:
„Esame dėkingi Vienos universiteto mokslininkams už atsakingą partnerystę ir kruopštumą pagal mūsų programą „Bug Bounty”. Šis bendradarbiavimas sėkmingai nustatė naują skaičiavimo metodą, kuris viršijo mūsų numatytas ribas ir leido tyrėjams iškrapštyti pagrindinę viešai prieinamą informaciją. Mes jau dirbome su pramonėje pirmaujančiomis apsaugos nuo įbrėžimų sistemomis, o šis tyrimas buvo labai svarbus siekiant užtikrinti, kad šie neatidėliotinai išbandytų streso testus. tyrėjai saugiai ištrynė tyrimo metu surinktus duomenis ir neradome jokių piktnaudžiavimo šiuo vektoriumi įrodymų. Primename, kad naudotojų pranešimai išliko privatūs ir saugūs dėl numatytojo „WhatsApp“ tiesioginio šifravimo, o tyrėjai negalėjo pasiekti jokių neviešų duomenų.
