Używasz WhatsApp? Po tym przestaniesz

Badacze z Uniwersytetu Wiedeńskiego ujawnili ogromną skalę wycieku danych z WhatsApp, wynikającą z podstawowej funkcji aplikacji. Mechanizm wyszukiwania kontaktów pozwala użytkownikowi po prostu dodać numer telefonu, aby sprawdzić, czy dana osoba korzysta z komunikatora.

Numery telefonów nigdy nie powinny być identyfikatorami

Austriacy wykorzystali ten sam proces na masową skalę. W efekcie uzyskali listę 3,5 miliarda numerów powiązanych z realnymi kontami WhatsApp, a w wielu przypadkach także zdjęcia profilowe oraz opisy użytkowników. Jak twierdzą, gdyby nie fakt, że było to badanie prowadzone etycznie, można by mówić o największym wycieku danych w historii.

Naukowcy informują, że korzystali jedynie z oficjalnego, przeglądarkowego interfejsu WhatsApp i nie napotkali żadnych zabezpieczeń spowalniających masowe zapytania. Umożliwiło im to sprawdzanie nawet 100 milionów numerów na godzinę.

O problemie poinformowali Meta w kwietniu, a do października firma wdrożyła nowe limity, które blokują taką skalę skanowania. Do tego czasu jednak każdy inny podmiot mógł wykorzystać tę samą technikę.

Meta uspokaja i bagatelizuje zagrożenie

Meta w odpowiedzi podkreśliła, że ujawnione informacje to jedynie "podstawowe publiczne dane", a widoczne były tylko profile użytkowników, którzy nie zmienili ustawień prywatności. Firma dodała również, że nie ma dowodów na nadużycia przez osoby trzecie, a wiadomości użytkowników pozostały bezpieczne dzięki domyślnemu szyfrowaniu end-to-end.

Szczególną uwagę badaczy przyciągnął fakt, że w bazie znalazły się także miliony numerów z krajów, w których WhatsApp jest oficjalnie zakazany, m.in. 2,3 miliona z Chin oraz 1,6 miliona z Mjanmy.

Takie dane mogłyby posłużyć władzom do identyfikacji użytkowników aplikacji używanej nielegalnie, co stwarza realne zagrożenie dla ich bezpieczeństwa. We wspomnianych wcześniech Chinach odnotowano już przypadki zatrzymań za samo korzystanie z WhatsAppa.