گروهی از محققان اتریشی موفق شدند با استفاده از یک نقص ساده در سیستم “کشف انبوه” واتس اپ، شماره تلفن 3.5 میلیارد کاربر واتس اپ را استخراج کنند. اگر این پروژه به صورت پژوهشی علمی انجام نمی شد، می توانستیم شاهد بزرگ ترین نشت اطلاعات در تاریخ باشیم.
به گزارش Wired، محققان می گویند مکانیسم ساده ای که واتس اپ برای راحتی کاربران طراحی کرده است به پاشنه آشیل واتس اپ تبدیل شده است. این برنامه به شما اجازه می دهد شماره تلفن را وارد کنید و بلافاصله متوجه شوید که آیا صاحب آن شماره یکی از اعضای WhatsApp است یا خیر.
محققان دانشگاه وین اتریش از این ویژگی استفاده کردند. آنها با نوشتن اسکریپت هایی که میلیاردها شماره تلفن را بررسی می کردند، توانستند لیستی از تقریباً تمام کاربران واتس اپ در جهان ارائه دهند. طنز ماجرا این بود که متا هیچ محدودیتی برای تعداد این درخواست ها قائل نشد و محققان توانستند وضعیت تقریباً 100 میلیون شماره را در هر ساعت بررسی کنند.
افشای شماره تلفن و اطلاعات کاربران واتس اپ
علاوه بر شماره تلفن، اطلاعات تکمیلی دیگری نیز ارائه شد. بر اساس یافته های این تیم تحقیقاتی، 57 درصد از تصاویر پروفایل کاربران عمومی بوده است. حدود 29 درصد از کاربران نیز درباره یا بیو متن داشتند. اگرچه محققان این پایگاه داده بزرگ را پس از پایان پروژه حذف کردند، اما این حجم از داده ها می تواند طعمه خوبی برای کلاهبرداران و ارسال کنندگان هرزنامه باشد.
شاید فکر نکنید داشتن شماره تلفن و عکس پروفایل چندان خطرناک نیست، اما ترکیب این اطلاعات می تواند عواقب جدی داشته باشد. به عنوان مثال، کلاهبرداران می توانند پروفایل های جعلی با عکس و نام شما ایجاد کنند و برای دوستان شما پیام ارسال کنند. علاوه بر این، در کشورهایی که استفاده از واتس اپ ممنوع است، مانند چین یا میانمار، دولت ها می توانند از این روش برای شناسایی کاربران این اپلیکیشن استفاده کنند.
محققان همچنین دریافتند که برخی از حسابها (احتمالاً حسابهای اسپم یا نسخههای غیررسمی WhatsApp) از کلیدهای رمزگذاری تکراری استفاده میکنند که امنیت پیامها را به خطر میاندازد.
این اولین باری نیست که متا در مورد این آسیب پذیری هشدار داده می شود. در سال 2017، یک محقق هلندی نیز توجه خود را به همین مشکل جلب کرد و گفت که با این روش می توان یک پایگاه داده بزرگ از اطلاعات کاربران ایجاد کرد و حتی زمان اقامت آنلاین را نیز نظارت کرد. با این حال، متا در آن زمان این مشکل را کم اهمیت جلوه داد و مدعی شد که تنظیمات حریم خصوصی واتس اپ به درستی کار می کند. اما تحقیقات جدید نشان داد که پس از 8 سال مشکل حل نشد و حجم آن به 3.5 میلیارد کاربر رسید.
البته این شرکت پس از دریافت نتایج تحقیقات دانشگاه وین در ماه اکتبر، سیستم های دفاعی خود را تقویت کرد. متا اکنون با اعمال محدودیت نرخ درخواست، بررسی انبوه شماره تلفن را متوقف کرده است. علاوه بر این، سخنگوی واتس اپ در بیانیه خود اعلام کرد که نتوانسته مدرکی دال بر سوء استفاده مخرب از این روش بیابد و تاکید کرد که اطلاعات افشا شده (مانند عکس پروفایل) اطلاعاتی است که خود کاربران تصمیم به انتشار عمومی آن دارند.