گروهی از محققان اتریشی با استفاده از یک نقص ساده در سیستم “کشف مخاطب” واتس اپ موفق شدند شماره تلفن 3.5 میلیارد کاربر واتس اپ را استخراج کنند. اگر این پروژه در قالب یک تحقیق علمی انجام نمی شد، می توانستیم شاهد بزرگ ترین نشت اطلاعات در تاریخ باشیم.
به گزارش Wired، محققان می گویند که مکانیسم ساده ای که واتس اپ برای راحتی کاربران طراحی کرده است به پاشنه آشیل آن تبدیل شده است. این اپلیکیشن به شما این امکان را می دهد که با وارد کردن شماره تلفن، فوراً متوجه شوید که صاحب آن شماره یکی از اعضای واتس اپ است یا خیر.
محققان دانشگاه وین اتریش از این ویژگی استفاده کردند. با نوشتن اسکریپت هایی که شماره تلفن های مختلف را در یک رگبار و میلیاردها بررسی می کرد، توانستند لیستی از تقریباً تمام کاربران واتس اپ در جهان را استخراج کنند. نکته عجیب این است که متا هیچ محدودیتی برای تعداد این درخواست ها تعیین نکرده است و محققان می توانند هر ساعت وضعیت حدود 100 میلیون شماره را بررسی کنند.
افشای شماره تلفن و اطلاعات کاربران واتس اپ
علاوه بر شماره تلفن، اطلاعات تکمیلی دیگری نیز در دسترس قرار گرفت. بر اساس یافته های این تیم تحقیقاتی، تصویر پروفایل 57 درصد از کاربران برای عموم قابل مشاهده بوده است. 29 درصد از کاربران نیز متن درباره یا بیوگرافی خود را در دسترس داشتند. اگرچه محققان این پایگاه داده بزرگ را پس از پایان پروژه حذف کردند، اما این حجم از داده ها می تواند خوراک بسیار خوبی برای کلاهبرداران و ارسال کنندگان هرزنامه باشد.
شاید فکر کنید داشتن شماره تلفن و عکس پروفایل چندان خطرناک نیست، اما ترکیب این اطلاعات می تواند عواقب جدی داشته باشد. به عنوان مثال، با عکس و نام شما، کلاهبرداران می توانند پروفایل های جعلی ایجاد کنند و برای دوستان شما پیام ارسال کنند. همچنین در کشورهایی مانند چین یا میانمار که استفاده از واتس اپ ممنوع است، دولت ها می توانند از این روش برای شناسایی کاربران این اپلیکیشن استفاده کنند.
محققان همچنین دریافتند که برخی از حسابها (احتمالاً حسابهای اسپم یا نسخههای غیررسمی واتساپ) از کلیدهای رمزگذاری تکراری استفاده میکنند که امنیت پیامها را به خطر میاندازد.
این اولین بار نیست که متا در مورد این نقص امنیتی هشدار داده می شود. در سال 2017، یک محقق هلندی دقیقاً به همین مشکل اشاره کرد و گفت که با این روش می توان یک پایگاه داده بزرگ از اطلاعات کاربران ایجاد کرد و حتی زمان آنلاین آنها را نظارت کرد. با این حال، متا در آن زمان این موضوع را کم اهمیت جلوه داد و مدعی شد که تنظیمات حریم خصوصی واتس اپ به درستی کار می کند. اما تحقیقات جدید نشان داد که پس از 8 سال نه تنها مشکل حل نشد، بلکه ابعاد آن به 3.5 میلیارد کاربر افزایش یافته است.
البته این شرکت پس از دریافت نتایج تحقیقات دانشگاه وین در ماه اکتبر سیستم های دفاعی خود را تقویت کرد. متا اکنون با اعمال محدودیت نرخ درخواست، بررسی انبوه شماره تلفن را متوقف کرده است. همچنین سخنگوی واتس اپ در بیانیه ای اعلام کرد که هیچ مدرکی دال بر سوء استفاده مخرب از این روش پیدا نکردند و تاکید کرد که اطلاعات فاش شده (مانند عکس پروفایل) اطلاعاتی است که خود کاربران تصمیم به عمومی شدن آن ها داشته اند.
