Telefónne číslo takmer každého používateľa WhatsAppu sa mohlo ocitnúť v obrovskej databáze, ktorú bolo možné získať vďaka prekvapivo jednoduchému triku. Ide o chybu, na ktorú odborníci upozornili už v roku 2017, no aplikácia ju umožňovala zneužiť ešte roky, a to v čase, keď sa WhatsApp pýšil silným šifrovaním a dôrazom na súkromie.
Bezpečnostní výskumníci odhadujú, že útočníci mohli takýmto spôsobom zozbierať až 3,5 miliardy telefónnych čísel. Nešlo len o suché kombinácie číslic, ale aj o mená a v mnohých prípadoch aj profilové fotografie, ktoré sa zobrazovali pri vyhľadávaní kontaktov. V praxi to znamenalo, že niekto mohol získať digitálnu „mapu“ používateľov WhatsAppu po celom svete.
Jednoduchý trik, obrovský rozsah
Podstatou problému bol spôsob, akým WhatsApp pracoval s funkciou vyhľadávania kontaktov. Stačilo do nej postupne zadávať telefónne čísla, pričom systém bez obmedzenia odpovedal, či je dané číslo registrované, a zároveň zobrazil meno používateľa a verejnú profilovú fotku. Keďže aplikácia neobmedzovala počet takýchto dopytov, bolo možné proces zautomatizovať a v obrovskom meradle ho zopakovať pre celé rozsahy čísel.
Na automatizáciu takéhoto zberu nebolo nutné špeciálne hackerské know-how. Stačil jednoduchý skript, ktorý generoval náhodné alebo systematické kombinácie čísel. Výskumníci z Viedenskej univerzity uviedli, že im trvalo približne pol hodiny, kým získali prvých 30 miliónov čísel v USA, a potom mohli nerušene pokračovať ďalej. Jeden z nich označil výsledok za najväčšie známe odhalenie telefónnych čísel a súvisiacich údajov v histórii.
Meta reagovala pomaly
Prvý bezpečnostný expert upozornil na chýbajúce limity kontrol čísel už pred ôsmimi rokmi. Tvrdil, že bez technických bariér nič nebráni tomu, aby niekto prešiel celý číselný priestor a zozbieral obrovskú databázu používateľov. Meta, ktorá vlastní WhatsApp, však podľa neho chybu nepreverila dostatočne dôkladne a nezaviedla vtedy ochranné opatrenia, ktoré by takýto zber údajov znemožnili.
Až keď rakúsky tím nedávno chybu znovu prakticky otestoval a následne kontaktoval Metu, začali sa veci hýbať. Výskumníci databázu odstránili, o probléme informovali a vysvetlili postup, ktorým bolo možné obísť zamýšľané ochranné limity. Meta podľa svojich slov trvala približne polroka, kým pripravila a nasadila nové systémy proti masovému scrapingu, ktoré majú podobné útoky znemožniť.
V reakcii na publikované zistenia Meta uviedla, že správy používateľov zostali aj počas incidentu chránené vďaka šifrovaniu end to end. Firma zdôraznila, že výskumníci pracovali v rámci bug bounty programu, zhromaždené údaje bezpečne vymazali a interné vyšetrovanie nenašlo dôkaz, že by tú istú techniku využívali podvodníci. Napriek tomu ostáva fakt, že takmer každý používateľ WhatsAppu mohol byť dlhé roky súčasťou obrovskej, ticho budovanej databázy.
Čo zostáva nezodpovedané
Otázkou ostáva, či bol tento typ slabiny unikátny pre WhatsApp, alebo či podobné vyhľadávacie mechanizmy v iných aplikáciách neumožňujú porovnateľný zber údajov. Telefónne číslo v kombinácii s menom a fotografiou predstavuje cenný materiál pre cielené podvody, phishing a sociálne inžinierstvo, pričom obete často ani netušia, kde podvodníci prišli k ich údajom.
Neprehliadnite
Meta dnes zdôrazňuje nové obranné mechanizmy a dlhodobý boj proti scrapingu, používatelia však budú v najbližších rokoch pravdepodobne citlivejšie vnímať aj „neškodné“ funkcie typu vyhľadávania kontaktov. Ak má internetová komunikácia ostať postavená na dôvere, veľké platformy budú musieť reagovať skôr, ako výskumníci po druhý raz ukážu, že problém pretrváva.
