Telefónne čísla približne 3,5 miliardy ľudí sa dali celé roky získať cez jednoduchý trik v aplikácii WhatsApp, pričom stačila obyčajná práca s vyhľadávaním kontaktov. Aj keď ide len o čísla a verejné profily, rozsah zásahu do súkromia je obrovský a vyvoláva nepríjemnú otázku, ako vážne Meta v skutočnosti berie bezpečnostné upozornenia odborníkov.
Na slabinu prvýkrát upozornil bezpečnostný výskumník už v roku 2017. Upozornil, že útočník môže v krátkom čase preveriť neobmedzené množstvo telefónnych čísel. Meta podľa jeho slov problém zaevidovala, ale reálne opatrenia nezaviedla. O osem rokov neskôr sa ukázalo, aké následky má podobné odkladanie, výskumníci z Viedne dokázali získať prakticky celý používateľský zoznam WhatsAppu.
Jednoduchý trik, gigantický rozsah
Podstata zraniteľnosti bola prekvapivo prostá. Útočník alebo výskumník mohol postupne zadávať telefónne čísla do nástroja na vyhľadávanie kontaktov v aplikácii. WhatsApp okamžite prezradil, či daný človek službu používa, pričom zobrazil jeho meno a pri verejnom nastavení aj profilovú fotografiu. Keďže systém neobsahoval efektívny limit na počet dotazov, dal sa takto „prebehnúť“ celý rad čísel v jednotlivých krajinách.
Rakúski výskumníci uviedli, že prvých 30 miliónov čísel zo Spojených štátov získali v priebehu približne tridsiatich minút. Potom už len rozšírili rozsah a automatizovali postup, pričom rovnakým spôsobom zozbierali telefónne čísla a verejné údaje používateľov z ďalších regiónov. Podľa nich ide o najväčšie známe odhalenie telefonických kontaktov, ktoré sa kedy spojilo s menami a profilovými fotkami konkrétnych ľudí.
Meta reagovala pomaly
Keď tím z Viedenskej univerzity zistil, aké ľahké je hromadné zbieranie údajov, okamžite kontaktoval Meta a databázu po ukončení testovania vymazal. Podľa výskumníkov sa Meta síce zapojila do komunikácie, ale trvalo približne pol roka, kým WhatsApp nasadil účinnejšie ochranné mechanizmy proti podobnému masovému vyhľadávaniu kontaktov. Po tejto úprave sa už rovnaký postup v takom rozsahu použiť nedá.
Meta po zverejnení zistení vyzdvihla prínos výskumníkov v rámci programu Bug Bounty a tvrdí, že už predtým budovala pokročilé systémy proti automatizovanému zbieraniu dát. Podľa oficiálneho vyjadrenia získali výskumníci len informácie, ktoré boli aj tak verejne dostupné v rámci profilov a spoločnosť nenašla dôkazy, že by rovnakú techniku využívali podvodníci alebo iné škodlivé skupiny. Šifrované správy používateľov zostali podľa Mety nedotknuté.
Čo to znamená pre používateľov
Samotné telefónne číslo síce väčšina ľudí vníma ako menej citlivý údaj než obsah správ, v kombinácii s menom a fotografiou však ide o cenný materiál pre spamové a phishingové kampane. Útočníkom stačí využiť databázu, ktorá už spája konkrétne číslo s identitou človeka, a potom cielene posielať podvrhnuté správy, telefonáty alebo správy cez iné platformy. Riziko sa tak presúva z technickej úrovne na psychologickú a sociálnu.
Výskumníci zároveň pripomínajú, že podobné hromadné zbieranie verejných údajov neohrozuje len používateľov WhatsAppu. Viaceré populárne služby stále umožňujú overovať existenciu účtu jednoducho zadaním telefónneho čísla alebo e‑mailu, čo pri chýbajúcich limitoch otvára priestor na ďalšie rozsiahle úniky. Otvorenou otázkou zostáva, či budú regulátori po takomto prípade tlačiť na prísnejšie pravidlá a vyššie pokuty za dlhodobé ignorovanie bezpečnostných odporúčaní.
Meta si po tomto incidente môže dovoliť tvrdiť, že správy boli stále chránené a že zneužitie v praxi neprebehlo, dôvera používateľov však stojí aj na tom, ako firma narába s verejnými profilmi a kontaktnými údajmi. Ak výskumníci dokázali získať takmer celý zoznam používateľov, je oprávnené pýtať sa, kto ďalší si podobnú príležitosť všimol skôr a nenahlásil ju. Budúce roky ukážu, či budú veľké platformy ochotné investovať do prevencie skôr, než sa z „jednoduchej chyby“ stane globálny problém.
