Meta a ignorat intenționat o alertă primită încă din 2017 referitoare la o vulnerabilitate majoră a platformei WhatsApp, care permitea identificarea numărului de telefon pentru orice utilizator al serviciului de mesagerie.
Potrivit experților în securitate cibernetică, un „exploat” simplu a facilitat extragerea a 3,5 miliarde de numere de telefon mobil prin interogarea serviciului de mesagerie. Totuși, breșa care ar fi putut genera „cea mai mare scurgere de date din istorie” nu s-a extins pe scară largă.
Adoptarea globală a aplicației WhatsApp se explică parțial prin facilitatea de a descoperi contacte noi: se adaugă numărul de telefon al unei persoane, iar WhatsApp afișează instantaneu dacă aceasta este online, precum și, frecvent, fotografia de profil și numele.
Se pare că aceeași funcție poate fi folosită ca o metodă comodă de a obține numărul de telefon mobil al aproape fiecărui utilizator WhatsApp din lume – împreună cu, în multe cazuri, fotografii de profil și informații de identificare.
Punând pe primul loc interesul companiilor de a extinde rețeaua WhatsApp prin facilitarea conexiunilor între utilizatori, Meta nu a impus limite privind numărul de verificări de numere de telefon, astfel deschizând posibilitatea pentru parteneri de publicitate (și oricine altcineva) să utilizeze WhatsApp ca o vastă Agendă Telefonică, asociind identitățile WhatsApp cu numere de telefon concrete.
În cazul în care ai adăugat numele complet și poza de profil în contul de WhatsApp, asocierea acestor detalii cu numărul de telefon creează oportunități „exploatabile” pentru diverse scheme înșelătoare. De la apeluri nesolicitate pentru campanii de vânzări telefonice, până la scheme de fraude în care ești determinat să divulgi alte informații personale, facilitând fraude bancare sau obținerea de credite în numele tău.
Incredibil, opt ani mai târziu, un grup de cercetători austrieci de la Universitatea din Viena a reușit să exploateze această vulnerabilitate pentru a obține numărul de telefon al aproape fiecărui utilizator WhatsApp. Cercetătorii au avut nevoie de doar jumătate de oră pentru a extrage 30 de milioane de numere de telefon ale utilizatorilor WhatsApp din SUA. Și aceasta a fost doar o demonstrație:
„Din câte știm, această expunere reprezintă cea mai extinsă divulgare a numerelor de telefon și a datelor asociate utilizatorilor documentată vreodată”, afirmă Aljosha Judmayer, unul dintre cercetătorii de la Universitatea din Viena implicați în studiu.
Deși baza de date cu numerele obținute în cadrul experimentului nu a fost publicată online, este aproape cert că vulnerabilitatea WhatsApp descoperită în urmă cu opt ani este deja utilizată pe scară largă, ceea ce explică modul în care infractorii pot desfășura operațiuni clandestine bazate pe apelarea „la întâmplare” a persoanelor necunoscute.
Totuși, reprezentanții WhatsApp afirmă că deja lucrează la implementarea unui remediu și nu au identificat dovezi că actorii rău intenționați exploatează activ vulnerabilitatea reclamata.