حفره امنیتی بزرگ واتساپ؛ شماره موبایل ۳.۵ میلیارد کاربر چگونه در دسترس قرار گرفت
واتساپ همیشه به سادگی و راحتی استفاده خود افتخار کرده است؛ کافی بود یک شماره تلفن داشته باشید تا دوستانتان را پیدا کنید. اما همین ویژگی ساده، اکنون به بزرگترین نقطه ضعف امنیتی این پیامرسان تبدیل شده است. گزارشهای تازه نشان میدهد که تا همین اواخر، شماره موبایل و اطلاعات پروفایل تمامی ۳.۵ میلیارد کاربر واتساپ بهسادگی در دسترس هر کسی، از جمله هکرها، قرار داشت.
هک پیچیده؟ نه، فقط یک جستجوی ساده
برخلاف تصور عمومی، دسترسی به اطلاعات میلیاردها کاربر نیاز به هک پیشرفته نداشت. محققان اتریشی با روشی بسیار ساده، این حفره را فاش کردند. آنها تنها کاری را انجام دادند که کاربران عادی هنگام اضافه کردن شماره جدید انجام میدهند:
یک شماره تلفن را به لیست مخاطبین اضافه کردند.
بررسی کردند که آیا این شماره در واتساپ فعال است یا خیر.
در صورت فعال بودن، عکس پروفایل و متن بیوگرافی (About) را ذخیره کردند.
تفاوت این بود که آنها این کار را در مقیاس میلیاردی و با استفاده از واتساپ وب انجام دادند و توانستند با سرعت حدود ۱۰۰ میلیون شماره در ساعت کل دیتابیس کاربران جهان را اسکن کنند.
چه اطلاعاتی لو رفته است
با این روش ساده، محققان توانستند به موارد زیر دسترسی پیدا کنند:
۱۰۰٪ کاربران: تایید فعال بودن شماره موبایل.
۵۷٪ کاربران: عکس پروفایل، برای کسانی که آن را روی حالت “همه” گذاشته بودند.
۲۹٪ کاربران: متن بیوگرافی (About).
غفلت چند ساله متا و اصلاح دیرهنگام
نکته نگرانکننده اینجاست که متا، مالک واتساپ، از سال ۲۰۱۷ هشداری مشابه دریافت کرده بود اما اقدامی نکرد. محققان در آوریل امسال مجدداً مشکل را گزارش دادند و نهایتاً در اکتبر، سیستم Rate-limiting اجرا شد تا جلوی اسکن انبوه شمارهها گرفته شود. اما سوال مهم این است که در این سالها چند گروه هکری از این حفره سوءاستفاده کردهاند؟
واکنش متا: “نگران نباشید، اطلاعات عمومی بود!”
متا اعلام کرده که دادههای استخراج شده، مانند عکس پروفایل، اطلاعاتی هستند که کاربران خودشان به صورت عمومی نمایش دادهاند. این شرکت همچنین تاکید کرده که هیچ شواهدی از سوءاستفاده مخرب وجود ندارد و چتهای خصوصی کاملاً امن باقی ماندهاند.
اگرچه حالا واتساپ جلوی این روش اسکن انبوه را گرفته، اما این حادثه یادآوری مهمی برای کاربران است: تنظیمات حریم خصوصی را جدی بگیرید. اگر عکس پروفایل شما روی حالت “Everyone” است، عملاً در دسترس تمام دنیا قرار دارد.