پژوهشگران اتریشی مدعی شدهاند که با سوءاستفاده از یک آسیبپذیری در واتساپ موفق شدهاند اطلاعات بیش از ۳.۵ میلیارد کاربر را جمعآوری کنند؛ اتفاقی که آن را بزرگترین نشت دادهها در تاریخ توصیف کردهاند.
این نقص به کاربران اجازه میداد با وارد کردن شماره تلفن، مشخصات دیگر کاربران شامل نام، تصویر پروفایل و اطلاعات متنی موجود در حساب را استخراج کنند. تیم تحقیقاتی با تولید ۶۳ میلیارد شماره تلفن به کمک ابزارهای متنباز مانند libphonenumber گوگل، توانستند اطلاعات بیش از ۱۰۰ میلیون حساب را در هر ساعت جمعآوری کنند؛ بدون آنکه با محدودیتهای متداول نظیر نرخ درخواست یا مسدودی آیپی مواجه شوند.
در گزارش این تیم آمده است که ۵۷ درصد حسابهای فعال دارای عکس پروفایل بودند که دو سوم آنها چهره انسان را نشان میداد؛ مسئلهای که میتواند به ساخت نوعی دفترچه تلفن معکوس منجر شود. همچنین حدود ۲۹ درصد حسابها دارای متنهایی بودند که گاه اطلاعات حساسی نظیر گرایش جنسی، دیدگاه سیاسی یا لینک به سایر حسابهای آنلاین را آشکار میکردند.
بر اساس یافتهها، حتی اطلاعات مربوط به برخی مقامات نظامی و دولتی نیز در میان دادههای استخراجشده وجود داشته است. این موضوع در کشورهایی مانند چین یا کره شمالی که استفاده از واتساپ ممنوع است، میتواند پیامدهای جدی برای کاربران داشته باشد.
پژوهشگران هشدار دادهاند که این نوع اطلاعات میتواند مبنایی برای حملات فیشینگ، پیامکهای ناخواسته و تماسهای خودکار باشد. آنها همچنین موفق به تطبیق نیمی از شمارههایی شدند که پیشتر در نشت بزرگ فیسبوک در سال ۲۰۲۱ افشا شده بودند؛ نشانهای از استمرار آسیبپذیریهای گسترده در مدیریت دادهها.
واتساپ در واکنش اعلام کرد این آسیبپذیری از طریق برنامه کشف باگها شناسایی و با همکاری پژوهشگران رفع شده است. به گفته معاون مهندسی واتساپ، دادههای جمعآوریشده بهطور امن حذف شدهاند و شواهدی از سوءاستفاده توسط عوامل مخرب در دست نیست.
او همچنین تاکید کرد رمزگذاری سرتاسری واتساپ همچنان برقرار است و محتوای پیامها برای پژوهشگران قابل دسترسی نبوده است.
توضیحات بیشتر:
Researchers claim 'largest leak ever' after uncovering WhatsApp enumeration flaw