بحران حریم خصوصی واتساپ: فاش شدن شماره تماس ۳.۵ میلیارد کاربر!

واتساپ (WhatsApp) یک پلتفرم عظیم است و رشد آن تا حدی به دلیل سادگی در پیدا کردن کاربران از طریق شماره تلفن همراهشان بود. متأسفانه، این مزیت اکنون به این معناست که شماره تلفن هر کاربر واتس‌اپ، تا همین اواخر، به سادگی و بدون هیچ مانعی برای هر شخصی – از جمله هر گروه هکری بدخواه – قابل دسترسی بوده است.

این موضوع توسط محققان اتریشی افشا شده است که توانستند شماره تلفن هر ۳.۵ میلیارد کاربر واتس‌اپ را استخراج کنند. علاوه بر این، محققان برای حدود ۵۷ درصد از این ۳.۵ میلیارد کاربر، موفق به دسترسی به عکس‌های پروفایل و برای ۲۹ درصد دیگر، به متن موجود در بخش نمایۀ کاربری (Profile Text) آن‌ها نیز دست یافتند.

اگر در تعجب هستید که این محققان از کدام ترفند جادویی هک کلاه سیاه استفاده کرده‌اند، پاسخ این است: هیچ کدام! تمام کاری که آن‌ها انجام دادند این بود که میلیاردها شماره را به همان روشی که یک کاربر عادی انجام می‌دهد، امتحان کردند. شما یک شماره را اضافه می‌کنید و سپس واتس‌اپ به شما می‌گوید که آیا فردی که از آن شماره استفاده می‌کند حساب کاربری دارد یا خیر، و در صورت عمومی بودن، عکس پروفایل و متن حساب کاربری او را نمایش می‌دهد.

همین، این تنها کاری بود که این محققان انجام دادند؛ البته در مقیاسی بسیار وسیع و با استفاده از واتس‌اپ وب (WhatsApp Web)، رابط کاربری تحت وب این سرویس. آن‌ها موفق شدند در اوایل سال جاری، حدود ۱۰۰ میلیون شماره تلفن در ساعت را بررسی کنند. این در حالی است که پیش از این، شرکت مادر واتساپ، یعنی متا (Meta)، در سال ۱۳۹۶ (۲۰۱۷ میلادی) توسط محقق دیگری در مورد این مشکل هشدار داده شده بود، اما نتوانست اقدام مؤثری برای رفع آن انجام دهد.

خوشبختانه، محققان اتریشی در فروردین ماه (آوریل) امسال این مشکل را به شرکت اطلاع دادند و تا مهر ماه (اکتبر)، متا محدودیت‌هایی را برای نرخ درخواست‌های بررسی (Rate-Limiting) اعمال کرد تا از چنین کشف انبوهی جلوگیری کند. اما بدیهی است که این تمهیدات سال‌ها اعمال نشد، در طول این مدت هر نوع عامل مخربی می‌توانست از این سیستم سوءاستفاده کند.

شرکت متا نیز به نوبه خود تأکید کرد که تمام این داده‌ها “اطلاعات پایه در دسترس عموم” هستند و عکس‌ها و متن‌های پروفایل برای کاربرانی که حریم خصوصی آن را فعال کرده بودند، فاش نشده است. این شرکت همچنین به همه اطمینان می‌دهد که “هیچ شواهدی مبنی بر سوءاستفاده عاملان مخرب از این روش نیافته است” و “هیچ داده غیرعمومی برای محققان قابل دسترسی نبوده است.”

به مطالعه ادامه دهید:

• کوچ طراح کلیدی «آیفون ایر» از اپل به یک استارتاپ هوش مصنوعی
• بسته ویژه ایرانسل به مناسبت روز اصفهان
• سرعت شارژ میان‌رده جدید سامسونگ، پرچمدار گلکسی S26 را شرمنده می‌کند!
• ورود مقتدرانه مدل جدید جمنای ۳ گوگل به هوش مصنوعی و اپلیکیشن جمنای!