- Ειδήσεις
- Άλλες ειδήσεις
- Ερευνητές υποστηρίζουν ότι πήραν τα δεδομένα 3,5 δισ. χρηστών του WhatsApp
Ερευνητές υποστηρίζουν ότι πήραν τα δεδομένα 3,5 δισ. χρηστών του WhatsApp
Ερευνητές υποστηρίζουν ότι πήραν τα δεδομένα 3,5 δισ. χρηστών του WhatsApp
Πληροφορίες
Τεράστιο κενό ασφαλείας μέσω αριθμών τηλεφώνου.
Ερευνητές του Πανεπιστημίου της Βιέννης υποστηρίζουν ότι έκαναν scrape τα προσωπικά δεδομένα και τις εικόνες προφίλ 3,5 δισεκατομμυρίων χρηστών του WhatsApp, σε αυτό που χαρακτηρίζεται ως «η μεγαλύτερη διαρροή δεδομένων στην ιστορία».
Η ομάδα απέκτησε πρόσβαση σε αριθμούς τηλεφώνου, timestamps, κείμενα “about”, profile photos και public keys για E2EE κρυπτογράφηση, με τους ίδιους να επισημαίνουν ότι η δημοσιοποίησή τους «θα είχε σοβαρές συνέπειες για τους χρήστες». Το εύρημα βασίζεται στον τρόπο λειτουργίας του WhatsApp, καθώς η εφαρμογή επιτρέπει την αναζήτηση λογαριασμών μέσω εισαγωγής αριθμών τηλεφώνου. Όποιος χρήστης δεν έχει ρυθμίσει το προφίλ του ως ιδιωτικό μπορεί να εμφανίζει δημόσια τη φωτογραφία και άλλες πληροφορίες του. Το εντυπωσιακό όμως είναι ότι η πλατφόρμα, μέχρι πρόσφατα, δεν εφάρμοζε κανέναν ουσιαστικό περιορισμό στο rate limit των ερωτημάτων, επιτρέποντας στην ερευνητική ομάδα να πραγματοποιήσει περίπου 100 εκατομμύρια ερωτήματα ανά ώρα.
Έτσι, μπόρεσαν να επιβεβαιώσουν 3,5 δισεκατομμύρια ενεργούς αριθμούς στο WhatsApp, αριθμός που ξεπερνά κατά πολύ τα «πάνω από 2 δισ.» που αναφέρει επίσημα η Meta. Επιπλέον, σύμφωνα με τα στοιχεία της μελέτης, το 57% των χρηστών είχε δημόσιες εικόνες προφίλ, εκ των οποίων τα δύο τρίτα περιείχαν ανθρώπινα πρόσωπα, κάτι που θεωρητικά θα μπορούσε να χρησιμοποιηθεί για την κατασκευή «reverse phonebook» βάσει φωτογραφιών.
Η Meta, μετά τη δημοσιοποίηση της μελέτης, ανακοίνωσε νέα μέτρα προστασίας. Συγκεκριμένα, πρόσθεσε rate limits στα ερωτήματα αριθμών τηλεφώνου και αφαίρεσε τα timestamps από τις εικόνες προφίλ. Παράλληλα, διορθώθηκε ένα σπάνιο ζήτημα στα Android clients όπου μετά από logout και αλλαγή αριθμού δεν παραγόταν νέος κρυπτογραφικός key. Ωστόσο, η εταιρεία ξεκαθαρίζει ότι οι ερευνητές δεν εκμεταλλεύτηκαν κάποιο κενό ασφαλείας, αλλά χρησιμοποίησαν τη λειτουργία της εφαρμογής όπως έχει σχεδιαστεί. Από την πλευρά των χρηστών, η συμβουλή παραμένει η γνωστή: αν δε θέλετε τα προσωπικά σας στοιχεία να είναι ορατά, θα πρέπει να τα περιορίσετε στις ρυθμίσεις απορρήτου μόνο για τις επαφές σας.
Διαβάστε για την διαρροή δεδομένων για 16 δις λογαριασμούς Gmail, Facebook και Apple IDs και συζητήστε για αυτό στο σχετικό forum topic.