Уязвимость в WhatsApp раскрыла телефонные номера 3,5 млрд пользователей
. У 57% из них были раскрыты аватарки
Серьезная уязвимость системы безопасности WhatsApp (принадлежит компании Meta, которая признана в России экстремистской и запрещена) раскрыла номера телефонов практически каждого пользователя на планете
Австрийским исследователям удалось извлечь номера телефонов 3,5 млрд пользователей популярного мессенджера WhatsApp (принадлежит компании Meta, которая признана в России экстремистской и запрещена). Примерно у 57% из них также были раскрыты фотографии профилей, а у 29% оказался доступен текст в профилях, пишет GSMarena.
Исследователи сумели раскрыть около 100 млн телефонных номеров только за первый час работы, а затем просто продолжили процесс. В итоге серьезная уязвимость системы безопасности WhatsApp раскрыла номера телефонов практически каждого пользователя на планете, несмотря на то что материнская компания Meta была предупреждена об уязвимости еще в 2017 году.
Достаточно добавить номер телефона нужного человека — и WhatsApp мгновенно покажет, зарегистрирован ли тот в сервисе, а зачастую также фотографию профиля и имя. По данным издания 9to5mac, этот же трюк можно повторить несколько миллиардов раз со всеми возможными номерами телефонов и та же функция может служить удобным способом получить номер мобильного телефона практически каждого пользователя WhatsApp на Земле, а во многих случаях и фотографии профиля и текст, идентифицирующий каждого из этих пользователей.
Исследователи утверждают, что, если бы эту же уязвимость использовали злоумышленники, результатом стала бы «крупнейшая утечка данных в истории». Австрийская команда поступила ответственно, удалив базу данных телефонных номеров и уведомив об этом компанию Meta. Той потребовалось еще около шести месяцев, чтобы реализовать меры по ограничению скорости подобных атак и предотвратить столь массовое использование этой функции.
В WhatsApp заявили, что уже работают над уязвимостью и не нашли никаких доказательств, что злоумышленники ее используют.
«Мы благодарны исследователям Венского университета за ответственное партнерство и усердие в рамках нашей программы Bug Bounty. В ходе этого сотрудничества был успешно выявлен новый метод сбора данных, который превзошел наши предполагаемые пределы, что позволило исследователям собирать базовую общедоступную информацию. Мы уже работали над ведущими в отрасли системами защиты от сбора данных, и это исследование сыграло ключевую роль в стресс-тестировании и подтверждении немедленной эффективности этих новых средств защиты», — ответили в Meta на запрос 9to5mac.
Ранее, минувшим летом, хакеры слили в открытый доступ 16 млрд логинов и паролей от аккаунтов Apple, Google, GitHub, Telegram, Instagram, Facebook (последние два принадлежат компании Meta, которая признана в России экстремистской и запрещена) и других популярных сервисов. Как сообщалось, большая часть этих данных ранее нигде не публиковалась. Это было не повторное использование старых баз, а совершенно новые массивы данных. В списке учетные записи пользователей социальных сетей, корпоративных платформ и порталов разработчиков.
