Σοκ! Το WhatsApp αποκάλυπτε 3,5 δισεκατομμύρια αριθμούς τηλεφώνων με έναν απλό τρόπο!

Μια ανησυχητική νέα αποκάλυψη από ομάδα Αυστριακών ερευνητών φέρνει στο προσκήνιο σοβαρά ζητήματα σχετικά με την ασφάλεια του WhatsApp, μιας από τις πιο διαδεδομένες πλατφόρμες επικοινωνίας παγκοσμίως. Σύμφωνα με τη μελέτη τους, υπήρχε η δυνατότητα συλλογής των αριθμών τηλεφώνου όλων των 3,5 δισεκατομμυρίων χρηστών της εφαρμογής με αναπάντεχη ευκολία. Οι ερευνητές διαπίστωσαν ότι πάνω από το 50% των χρηστών είχαν εκτεθειμένες τις φωτογραφίες προφίλ τους, ενώ σχεδόν το 33% των χρηστών είδαν τα προσωπικά τους status updates να είναι προσιτά.

Αυτό που προκαλεί ακόμη μεγαλύτερη ανησυχία δεν είναι μόνο η έκταση της διαρροής, αλλά και το γεγονός ότι καμία εξειδικευμένη τεχνική ή πολύπλοκη διαδικασία δεν απαιτήθηκε για να συμβεί αυτό. Οι ερευνητές ακολούθησαν τη διαδικασία που μπορεί να κάνει ο οποιοσδήποτε χρήστης: επιχείρησαν να προσθέσουν έναν αριθμό επαφής. Το WhatsApp, παραδοσιακά, απαντά εάν ο αριθμός ανήκει σε ενεργό λογαριασμό και εμφανίζει τις σχετικές δημόσιες πληροφορίες. Αυτό που άλλαξε ήταν η κλίμακα της επιχείρησης: εκείνοι επανέλαβαν τη διαδικασία για δισεκατομμύρια αριθμούς, αξιοποιώντας το WhatsApp Web για αυτοματοποίηση των ελέγχων.

Χρησιμοποιώντας την browser-based έκδοση της υπηρεσίας, οι ερευνητές κατάφεραν να επεξεργάζονται μέχρι και 100 εκατομμύρια αριθμούς ανά ώρα στις αρχές του 2023. Κι όλα αυτά χωρίς κανέναν περιορισμό από την πλατφόρμα. Αν και η Meta είχε ενημερωθεί για τον κίνδυνο από το 2017 μέσω άλλου ερευνητή, δεν είχαν ληφθεί μέτρα για να περιοριστεί η χρήση της λειτουργίας προσθήκης επαφών.

Μόνο όταν η ομάδα των Αυστριακών ερευνητών επανέφερε το ζήτημα τον περασμένο Απρίλιο, η εταιρεία αντέδρασε. Τον Οκτώβριο, επιτέλους, εφαρμόστηκαν rate limits ώστε να αποτραπούν παρόμοιες μαζικές σάρωσης στο μέλλον. Για πολλά χρόνια, ωστόσο, το WhatsApp είχε αμελήσει να κλείσει μια κρίσιμη αχίλλειο πτέρνα, επιδίδοντας σε κάθε επιτήδειο την ευκαιρία να δημιουργήσει βάσεις δεδομένων σε παγκόσμια κλίμακα.

Η Meta, από την πλευρά της, υποβάθμισε την περίπτωση. Υποστηρίζει ότι πρόκειται για βασικά δημόσια στοιχεία, τα οποία οι χρήστες μπορούν, αν το επιλέξουν, να κρύψουν μέσω των ρυθμίσεων ιδιωτικότητας. Παράλληλα, διαβεβαιώνει ότι δεν ανιχνεύθηκε καμία ένδειξη κατάχρησης από κακόβουλους χρήστες και ότι δεν υπήρξε πρόσβαση σε μη δημόσια δεδομένα. Ωστόσο, η αλήθεια είναι ότι για μεγάλο χρονικό διάστημα, κάθε χρήστης του WhatsApp βρισκόταν δυνητικά εκτεθειμένος σε μαζική συλλογή δεδομένων, πιθανότατα χωρίς να το γνωρίζει.

Το ζήτημα, ωστόσο, δεν περιορίζεται μόνο στο WhatsApp. Η αρχιτεκτονική της εφαρμογής, που επιτρέπει την εύκολη ανεύρεση χρηστών μέσω του αριθμού τηλεφώνου, που για καιρό αποτέλεσε το κλειδί της εξάπλωσής της, αποδεικνύεται τώρα και η αχίλλειος πτέρνα της. Η δημοτικότητα του συστήματος σύνδεσης μέσω αριθμών, που προσφέρει άνεση στη καθημερινή χρήση, διευκολύνει ταυτόχρονα τους ερευνητές (και ενδεχομένως κακόβουλους παράγοντες) να εντοπίζουν και να συνδυάζουν παγκόσμιους αριθμούς τηλεφώνου χωρίς περιορισμούς.

Οι επιπτώσεις αυτής της ευπάθειας είναι τεράστιες. Μια βάση δεδομένων με 3,5 δισεκατομμύρια τηλέφωνα, που συνοδεύονται από φωτογραφίες και προφίλ, μπορεί να αποδειχθεί χρυσάφι για spammers, scammers και ομάδες που επιθυμούν να αποκτήσουν προσωπικά στοιχεία για εξαπατήσεις ή στοχευμένες επιθέσεις. Ακόμη και αν η Meta δεν έχει εντοπίσει επίσημα καταχρήσεις, είναι εξαιρετικά δύσκολο να αποδειχθεί ότι δεν έχουν δημιουργηθεί τέτοιες βάσεις δεδομένων όλα αυτά τα χρόνια.

Το συμβάν φωτίζει και το ευρύτερο ζήτημα για τη φύση των messaging apps σήμερα: πόσο πραγματικά μπορούν να προστατεύσουν την ιδιωτικότητά μας όταν η πλήρης λειτουργία τους στηρίζεται σε στοιχεία που ο καθένας μπορεί να δοκιμάσει, να αντιγράψει και να εκμεταλλευτεί; Η end-to-end κρυπτογράφηση μπορεί να προστατεύει τα μηνύματα, αλλά η ταυτότητα των χρηστών παραμένει εκτεθειμένη σε μια διαδικασία ανακάλυψης που φαίνεται σχεδόν οπισθοδρομική για τα δεδομένα του 2025.