Egyetemi kutatók szívták le a WhatsApp adatbázisát

​Egyetemi kutatók 3,5 milliárd WhatsApp felhasználó nyilvános adatát gyűjtötték össze egy biztonsági hiba kihasználásával. A Meta már lépett.
 

A Bécsi Egyetem kutatói a WhatsApp elemzése során egy olyan sérülékenységre derítettek fényt, aminek következtében nagymennyiségű adatot tudtak lekérdezni a népszerű üzenetküldő szolgáltatásból. A felfedezésüket természetesen jelezték a fejlesztőknek, akik azóta már megtették a szükséges intézkedések annak érdekében, hogy ilyen eset ne fordulhasson elő a jövőben. Ettől függetlenül nagyon tanulságos az eset.
 
A biztonsági kutatók azt vették észre, hogy a WhatsApp azon funkciója korlátlanul használható adatlekérdezésre, amely a telefonszámok alapján történő kereséseket teszi lehetővé. A vizsgálatukhoz rengeteg telefonszámot generáltak, és elkezdték sorban lekérdezni a WhatsApp-ból az azokhoz elérhető nyilvános információkat. Először azt gondolták, hogy a Meta biztosan beépített valamilyen korlátot a lekérdezések számát illetően a rendszerbe. Majd, amikor azt tapasztalták, hogy egy óra alatt 100 millió telefonszámra történő keresés is gond nélkül lefutott, akkor már másként gondolták mindezt. Végül odáig jutottak, hogy 3,5 milliárd WhatsApp profil nyilvános adataiból tudtak egy adatbázist felépíteni.
 

„Normális esetben egy rendszernek nem szabadban ilyen nagyszámú lekérdezésre válaszolnia, különösen akkor nem, ha a keresések egy forrásból indulnak"

- mondta Gabriel Gegenhuber vezető kutató.

A szakember hozzátette, hogy az adatgyűjtés során olyan időbélyegekhez és publikus kulcsokhoz is hozzájutottak, amik révén a profilok korára, és kapcsolt eszközökre is fény derült. Mindezek mellett egyes esetekben profilképek és a "Rólam" szekcióban megadott információk is letölthetővé váltak.
 
A Meta elismerte, hogy nem volt megfelelően korlátozva a kutatók által igénybe vett keresési funkció. Ezért megtette a szükséges intézkedéseket, és egyben jutalmazta is a kutatókat a hibavadász programjának keretében. (A jutalom összegét egyelőre nem hozta nyilvánosságra.)
 
A WhatsApp üzemeltetői hangsúlyozták, hogy kizárólag nyilvánosan elérhető adatokhoz fértek hozzá a kutatók, és a profilképek, illetve egyéb néhány információ is csak akkor vált lekérdezhetővé, ha azokat a felhasználó előzőleg nyilvánosként jelölte meg. Az egyetem pedig jelezte, hogy az összegyűjtött adatokat és a vizsgálat során felépített adatbázist már megsemmisítette.