Οι ερευνητές συνέταξαν μια λίστα με 3,5 δισεκατομμύρια αριθμούς κινητών τηλεφώνων WhatsApp και σχετικές προσωπικές πληροφορίες κάνοντας κατάχρηση ενός API ανακάλυψης επαφών που δεν είχε περιορισμό ποσοστού.
Η ομάδα ανέφερε το ζήτημα στο WhatsApp και η εταιρεία έχει προσθέσει από τότε προστασίες περιορισμού ποσοστού για να αποτρέψει παρόμοια κατάχρηση.
Ενώ αυτή η μελέτη διεξήχθη από ερευνητές που δεν έχουν δημοσιοποιήσει τα δεδομένα, απεικονίζει μια κοινή τακτική που χρησιμοποιούν οι φορείς απειλών για να αφαιρούν πληροφορίες χρηστών από δημόσια εκτεθειμένα και μη προστατευμένα API.
Κατάχρηση του WhatsApp API
Οι ερευνητές από το Πανεπιστήμιο της Βιέννης και το SBA Research χρησιμοποίησαν τη δυνατότητα ανακάλυψης επαφών του WhatsApp, η οποία σας επιτρέπει να υποβάλετε έναν αριθμό τηλεφώνου στην πλατφόρμα της GetDeviceList Τελικό σημείο API για να προσδιορίσετε εάν ένας αριθμός τηλεφώνου σχετίζεται με έναν λογαριασμό και ποιες συσκευές χρησιμοποιήθηκαν.
Χωρίς αυστηρό περιορισμό ρυθμού, API όπως αυτό μπορεί να γίνει κατάχρηση για την εκτέλεση απαρίθμησης μεγάλης κλίμακας σε μια πλατφόρμα.
Οι ερευνητές διαπίστωσαν ότι αυτό συμβαίνει με το WhatsApp, καθώς κατάφεραν να στείλουν μεγάλο όγκο ερωτημάτων απευθείας στους διακομιστές του WhatsApp, ελέγχοντας περισσότερους από 100 εκατομμύρια αριθμούς ανά ώρα.
Έτρεξαν ολόκληρη τη λειτουργία από έναν ενιαίο διακομιστή πανεπιστημίου χρησιμοποιώντας μόνο πέντε επαληθευμένες συνεδρίες, αρχικά περιμένοντας να πιαστούν από το WhatsApp. Ωστόσο, η πλατφόρμα δεν μπλόκαρε ποτέ τους λογαριασμούς, δεν περιόρισε ποτέ την επισκεψιμότητά τους, ποτέ δεν περιόρισε τη διεύθυνση IP τους και δεν προσέγγισε ποτέ, παρά την καταχρηστική δραστηριότητα που προέρχεται από μία συσκευή.
Στη συνέχεια, οι ερευνητές δημιούργησαν ένα παγκόσμιο σύνολο 63 δισεκατομμυρίων πιθανών αριθμών κινητών τηλεφώνων και δοκίμασαν όλους αυτούς με το API. Τα ερωτήματά τους επέστρεψαν 3,5 δισεκατομμύρια ενεργούς λογαριασμούς WhatsApp.
Τα αποτελέσματα έδωσαν επίσης ένα άγνωστο στιγμιότυπο του τρόπου χρήσης του WhatsApp παγκοσμίως, δείχνοντας πού χρησιμοποιείται περισσότερο η πλατφόρμα:
- Ινδία: 749 εκατ
- Ινδονησία: 235 εκατ
- Βραζιλία: 206 εκατ
- Ηνωμένες Πολιτείες: 138 εκατ
- Ρωσία: 133 εκατ
- Μεξικό: 128 εκατ
Εκατομμύρια ενεργοί λογαριασμοί εντοπίστηκαν επίσης σε χώρες όπου το WhatsApp ήταν απαγορευμένο εκείνη την εποχή, όπως η Κίνα, το Ιράν, η Βόρεια Κορέα και η Μιανμάρ. Στο Ιράν, η χρήση συνέχισε να αυξάνεται καθώς η απαγόρευση άρθηκε τον Δεκέμβριο του 2024.
Εκτός από την επιβεβαίωση εάν χρησιμοποιήθηκε ένας αριθμός τηλεφώνου στο WhatsApp, οι ερευνητές χρησιμοποίησαν άλλα τελικά σημεία API για να απαριθμήσουν πρόσθετες πληροφορίες σχετικά με τους χρήστες, συμπεριλαμβανομένων των GetUserInfo, GetPrekeysκαι FetchPicture.
Χρησιμοποιώντας αυτά τα πρόσθετα API, οι ερευνητές μπόρεσαν να συλλέξουν φωτογραφίες προφίλ, κείμενο “σχετικά” και πληροφορίες σχετικά με άλλες συσκευές που σχετίζονται με έναν αριθμό τηλεφώνου WhatsApp.
Μια δοκιμή αριθμών στις Η.Π.Α. κατέβασε 77 εκατομμύρια φωτογραφίες προφίλ χωρίς κανένα περιορισμό ποσοστού, με πολλές να δείχνουν αναγνωρίσιμα πρόσωπα. Εάν ήταν διαθέσιμο δημόσιο κείμενο “σχετικά”, αποκάλυπτε επίσης προσωπικά στοιχεία και συνδέσμους με άλλους λογαριασμούς κοινωνικής δικτύωσης.
Τέλος, όταν οι ερευνητές συνέκριναν τα ευρήματά τους με τον αριθμό τηλεφώνου του Facebook του 2021, διαπίστωσαν ότι το 58% των αριθμών Facebook που διέρρευσαν ήταν ακόμα ενεργοί στο WhatsApp το 2025. Οι ερευνητές εξηγούν ότι οι μεγάλης κλίμακας διαρροές τηλεφωνικών αριθμών είναι τόσο επιζήμιες επειδή μπορούν να παραμείνουν χρήσιμες σε άλλες κακόβουλες συμπεριφορές για χρόνια.
“Με εγγραφές 3,5 B (δηλαδή, ενεργούς λογαριασμούς), αναλύουμε ένα σύνολο δεδομένων που, εξ όσων γνωρίζουμε, θα ταξινομούνταν ως η μεγαλύτερη διαρροή δεδομένων στην ιστορία, εάν δεν είχε συγκεντρωθεί ως μέρος μιας υπεύθυνης ερευνητικής μελέτης”, εξηγεί η “Γεια σου! Χρησιμοποιείτε το WhatsApp: Απαριθμώντας τρία δισεκατομμύρια λογαριασμούς για ασφάλεια και απόρρητο“χαρτί.
“Το σύνολο δεδομένων περιέχει αριθμούς τηλεφώνου, χρονικές σημάνσεις, κείμενο, φωτογραφίες προφίλ και δημόσια κλειδιά για την κρυπτογράφηση E2EE και η κυκλοφορία του θα είχε δυσμενείς επιπτώσεις στους χρήστες που περιλαμβάνονται.”
Άλλες κακόβουλες περιπτώσεις κατάχρησης API
Η έλλειψη περιορισμού ρυθμού του WhatsApp για τα API του είναι ενδεικτική ενός ευρέως διαδεδομένου ζητήματος στις διαδικτυακές πλατφόρμες, όπου τα API έχουν σχεδιαστεί για να διευκολύνουν την κοινή χρήση πληροφοριών και την εκτέλεση εργασιών, αλλά γίνονται επίσης φορείς για απόξεση μεγάλης κλίμακας.
Το 2021, οι φορείς απειλών εκμεταλλεύτηκαν ένα σφάλμα στη λειτουργία “Προσθήκη φίλου” του Facebook που τους επέτρεπε να ανεβάζουν λίστες επαφών από ένα τηλέφωνο και να ελέγχουν αν αυτές οι επαφές βρίσκονταν στην πλατφόρμα. Ωστόσο, αυτό το API δεν έκανε επίσης σωστά αιτήματα ορίου ποσοστού, επιτρέποντας στους παράγοντες απειλών να δημιουργήσουν προφίλ για 533 εκατομμύρια χρήστες που περιλάμβαναν τους αριθμούς τηλεφώνου, τα αναγνωριστικά του Facebook, τα ονόματα και το φύλο τους.
Μετα επιβεβαιώθηκε αργότερα ότι τα δεδομένα προήλθαν από αυτοματοποιημένη απόξεση ενός API που δεν διέθετε κατάλληλες διασφαλίσεις, με την Ιρλανδική Επιτροπή Προστασίας Δεδομένων (DPC) να επιβάλλει πρόστιμο 265 εκατομμυρίων ευρώ στη Meta για τη διαρροή.
Το Twitter αντιμετώπισε ένα παρόμοιο πρόβλημα όταν οι εισβολείς εκμεταλλεύτηκαν μια ευπάθεια API για να αντιστοιχίσουν αριθμούς τηλεφώνου και διευθύνσεις email σε 54 εκατομμύρια λογαριασμούς.
Η Dell αποκάλυψε ότι 49 εκατομμύρια εγγραφές πελατών διαγράφηκαν αφού οι εισβολείς έκαναν κατάχρηση ενός μη προστατευμένου τερματικού σημείου API.
Όλα αυτά τα περιστατικά, συμπεριλαμβανομένων των WhatsApp, προκαλούνται από API που πραγματοποιούν αναζητήσεις λογαριασμών ή δεδομένων χωρίς επαρκή όρια ποσοστών, γεγονός που τα καθιστά εύκολους στόχους για απαρίθμηση μεγάλης κλίμακας.
Είτε καθαρίζετε παλιά κλειδιά είτε τοποθετείτε προστατευτικά κιγκλιδώματα για κώδικα που δημιουργείται από AI, αυτός ο οδηγός βοηθά την ομάδα σας να χτίζει με ασφάλεια από την αρχή.
Πάρτε το φύλλο εξαπάτησης και αφαιρέστε τις εικασίες από τη διαχείριση μυστικών.
VIA: bleepingcomputer.com
