Sute de mii de telefoane mobile expuse atacurilor cibernetice! Breșă de securitate descoperită la WhatsApp

10 iunie 2020, 14:04 de Alecsandru Ion

Deși WhatsApp nu permite interogarea bazei de date pentru aflarea numărului de telefon al unui utilizator, datele nu sunt atât de private pe cât se credea inițial. Sute de mii de numere de telefon au ajuns în rezultatele căutării publice, indexate ca orice conținut de Google și alte motoare de căutare.

O funcție WhatsApp duce la expunerea publică a numărului de telefon al utilizatorului, care poate fi găsit apoi la o simplă căutare pe Google.

Astfel, vulnerabilitatea a fost descoperită de un specialist în probleme de securitate și ridică problema siguranței datelor personale găzduite de aplicația de mesagerie folosită de miliarde de oameni pe tot globul.

Vulnerabilitate la escrocherii și atacuri cibernetice

Funcția expusă a WhatsApp este “Click to Chat”, fiind mai puțin cunoscută. Prin această opțiune, un utilizator poate să intre într-o discuție cu un operator, de exemplu pe site-ul unui magazin online.

Cumpărătorul se poate loga cu contul său de WhatsApp, prin intermediul unui cod QR. Problema este că în acel moment datele din aplicație devin expuse, scrie libertatea.ro, citând un portal tech.

Iar utilizarea acestei funcții poate determina ca numărul de telefon al unui utilizator să ajungă în rezultatele căutării publice. Așa poate deveni victimă a unor escrocherii și atacuri cibernetice.

Datele nu sunt atât de private pe cât se credea

În mod normal, WhatsApp nu permite interogarea bazei de date pentru aflarea numărului de telefon al unui utilizator. Platforma de mesagerie WhatsApp, deținută de Facebook, este renumită pentru standardele ridicate de confidențialitate a datelor, oferind criptare end-to-end pentru toți participanții la o conversație.

Totuși, această ultimă descoperire sugerează că datele cu caracter personal s-ar putea să nu fie la fel de private pe cât se credea, arată sursa citată.

Numerele utilizatorilor sunt expuse de domeniul “wa.me” deținut de WhatsApp, care stochează metadatele “Click to Chat” într-o adresă de web (de exemplu, https://wa.me/).

300.000 de numere de telefon făcute publice

Nu există nici un filtru pentru a împiedica indexarea acestor metadate, astfel că numerele ajung în rezultatele căutării publice, indexate ca orice conținut de Google și alte motoare de căutare.

Un expert în securitate a găsit pe Google 300.000 de numere WhatsApp făcute publice prin acest mecanism.

După ce a făcut descoperirea pe 23 mai, el a raportat ulterior problema proprietarului WhatsApp – Facebook, prin mecanismul de găsire și recompensare a vulnerabilităților.

Cu toate acestea, cererea a fost respinsă, pe motiv că utilizatorii WhatsApp au o supraveghere completă a informațiilor atașate profilului lor care sunt puse la dispoziția publicului.