حفره امنیتی عظیم واتساپ؛ شماره موبایل ۳.۵ میلیارد کاربر چگونه در دسترس قرار گرفت
به گزارش نگاه فناوری:واتساپ همیشه به سادگیِ استفادهاش افتخار میکرد؛ اینکه برای پیدا کردن دوستانتان فقط به یک شماره تلفن نیاز دارید. اما حالا مشخص شده که همین ویژگی ساده، پاشنه آشیل امنیت بزرگترین پیامرسان جهان بوده است. گزارشهای جدید نشان میدهد که تا همین اواخر، شماره موبایل و اطلاعات پروفایل تمامی ۳.۵ میلیارد کاربر واتساپ به راحتی در دسترس هر کسی (از جمله هکرها) بوده است!
هک پیچیده؟ خیر، فقط یک جستجوی ساده
شاید فکر کنید استخراج اطلاعات ۳.۵ میلیارد نفر نیاز به ابزارهای هک فوقپیشرفته دارد، اما محققان اتریشی که این موضوع را فاش کردند، از روشی بسیار ساده استفاده کردند.
آنها هیچ کار عجیب و غریبی نکردند؛ فقط دقیقاً همان کاری را کردند که شما وقتی شماره جدیدی را ذخیره میکنید انجام میدهید:
یک شماره تلفن را به لیست مخاطبین اضافه کردند.
چک کردند که آیا این شماره در واتساپ فعال است یا خیر.
اگر فعال بود، عکس پروفایل و متن بیوگرافی (About) را ذخیره کردند.
تفاوت کار آنها این بود که این کار را در مقیاس میلیاردی و با استفاده از واتساپ وب انجام دادند. آنها توانستند با سرعتی وحشتناک (حدود ۱۰۰ میلیون شماره در ساعت) کل دیتابیس کاربران جهان را اسکن کنند!
چه اطلاعاتی لو رفته است
محققان توانستند با این روش ساده به اطلاعات زیر دست پیدا کنند:
۱۰۰٪ کاربران: تایید فعال بودن شماره موبایل آنها در واتساپ.
۵۷٪ کاربران: دسترسی به عکس پروفایل (برای کسانی که عکسشان را برای “همه” باز گذاشته بودند).
۲۹٪ کاربران: دسترسی به متن بیوگرافی یا همان بخش About.
غفلت چند ساله متا و اصلاح دیرهنگام
نکته عصبانیکننده ماجرا اینجاست که شرکت متا (مالک واتساپ) در سال ۲۰۱۷ هشداری مشابه دریافت کرده بود اما اقدامی نکرد. این محققان در ماه آوریل امسال دوباره مشکل را گزارش دادند و متا سرانجام در ماه اکتبر (ماه گذشته) سیستمی را پیاده کرد که جلوی چک کردن رگباری شمارهها را میگیرد (Rate-limiting). اما سوال بیپاسخ این است: در طول این سالها، چند گروه هکری از این حفره استفاده کردهاند؟
واکنش متا: “نگران نباشید، اطلاعات عمومی بود!”
متا در دفاع از خود اعلام کرده است که دادههای استخراج شده (مثل عکس پروفایل)، اطلاعاتی هستند که خود کاربران تصمیم گرفتهاند به صورت عمومی (Public) نمایش دهند. این شرکت همچنین تأکید کرده که هیچ مدرکی مبنی بر سوءاستفاده مخرب از این روش پیدا نکرده و چتهای خصوصی کاملاً امن ماندهاند.
اگرچه واتساپ جلوی این روش اسکن انبوه را گرفته است، اما این اتفاق یادآوری مهمی برای ماست: تنظیمات حریم خصوصی را جدی بگیرید. اگر عکس پروفایل شما روی حالت “Everyone” است، یعنی عملاً در اختیار کل دنیاست.
