Możliwe, że to największe użycie luki w historii WhatsAppa. Do cyfrowej księgi trafiły miliardy użytkowników

Jeśli mielibyśmy powiedzieć, który komunikator jest najpopularniejszy, to bez wątpienia odpowiedź będzie jedna: WhatsApp. To rozwiązanie ukazało się na rynku już w 2009 roku, a od 2014 roku jego właścicielem jest firma Meta (Facebook, Instagram). WhatsApp dla wielu osób może się wydawać stosunkowo bezpiecznym komunikatorem, ale różne zdarzenia pokazały już, że nie w każdym przypadku tak jest. Pewna luka pozwoliła skompletować informacje o miliardach użytkowników.

Pewni badacze skorzystali z luki w komunikatorze WhatsApp i udowodnili, że można przez nią uzyskać informacje o dosłownie każdym użytkowniku. W rezultacie stworzono ogromną bazę danych o niemal 3,5 mld osób.

Hakerzy wykradli dane milionów osób z Instagrama. Wszystko już dostępne w dark webie od kilku dni

Jak to się w ogóle stało, że dane prawie 3,5 mld użytkowniów WhatsAppa były dostępne na tacy? Powód jest dość prosty. Zanim zaczniemy rozmowę z naszym znajomym, trzeba sprawdzić, którzy z nich są w ogóle zarejestrowani w usłudze. Wysyłane są więc zapytania do serwerów z numerami telefonów, które są zapisane w naszym telefonie (jeśli zgodziliśmy się na to, aby aplikacja miała do nich dostęp). Badacze postanowili skorzystać z tej okazji i przy tym sprawdzić, czy istnieją jakieś ograniczenia. Okazało się, że sytuacja nie wygląda za dobrze, ponieważ byli oni w stanie sprawdzać 100 mln numerów telefonów w ciągu godziny, a po tym czasie zapytania nie były blokowane*, ani też nie zostały nałożone efektywne ograniczenia. Korzystali z API poddanego inżynierii wstecznej (bezpośredni dostęp do XMPP API). Udało im się stworzyć bazę aktywnych użytkowników z 245 krajów wraz z informacjami o nich, które obejmowały: numery telefonu, publiczne zdjęcia profilowe i sekcję Informacje (czyli np. Korzystam z WhatsAppa), czy też publiczne klucze do szyfrowania E2E. Do tego mieli oni dostęp do wykorzystywanego systemu operacyjnego, kraju użytkownika, połączonych urządzeń, aktywności, czasu (dot. kluczowych aktualizacji, zdjęć profilowych i sekcji Informacje), czy choćby wieku urządzeniu (80% z nich zostało stworzonych w ciągu ostatnich dwóch lat). Badacze porównali 500 mln numerów telefonów, które pochodziły z "wycieku" danych z Facebooka z 2021 roku i okazało się, że połowa z nich nadal jest aktywna.

Jaki był powód awarii Cloudflare? Oficjalne stanowisko firmy - nie był to atak DDoS, jak początkowo zakładano

Dzięki zebranym danym stworzono różne wykresy, więc można się dowiedzieć, jaki system był najchętniej używany z WhatsAppem (81% Android, 19% iOS), czy też, jak wygląda rozkład użytkowników pod względem światowym (Polska na 26. miejscu - prawie 24 mln osób). Badacze co prawda kontaktowali się z firmą Meta, aby zajęła się problematycznymi kwestiami (po drodze było ich kilka), ale przez dość długi czas nie spotkali się z oczekiwaną odpowiedzią. Koniec końców zespół odpowiedzialny za komunikator WhatsApp wziął sprawę na poważanie i zaczął wdrażać poprawki. Okazało się przy tym, że w krajach, w których używanie komunikatora jest zakazane, są osoby, które i tak to robią. Cały dokument ma 20 stron, więc jest się z czym zapoznawać (np. w kwestii kluczy X25519, które były wielokrotnie wykorzystywane w różnych urządzeniach i przy różnych numerach telefonu, co może dowodzić przestępczej aktywności) - jeśli mamy na to ochotę, to znajdziemy go pod tym adresem. Oczywiście sami badacze nie mają zamiaru wykorzystywać bazy w złych celach, choć można założyć, że do tej pory mogło to już mieć miejsce w innych przypadkach.

*Wyjątkiem był pojedynczy błąd ze strony badaczy, przez który otrzymali blokadę.

**Co ciekawe, sprawdzanie użytkowników WhatsAppa przez numery telefonu było już wcześniej wykorzystywane na większą skalę. Przykładem jest rok 2012, w którym zostało sprawdzonych 10 mln numerów w mniej niż dwie i pół godziny, a znaleziono prawie 22 tysiące aktywnych kont.