Uma enorme falha de segurança do WhatsApp expôs o número de telefone de quase todos os usuários do planeta – apesar do fato de a empresa controladora Meta ter sido alertada sobre a vulnerabilidade em 2017.
Os pesquisadores de segurança conseguiram usar o que descreveram como uma exploração “simples” para extrair um total de 3,5 bilhões de números de telefone do serviço de mensagens…
Os pesquisadores dizem que se a mesma exploração tivesse sido usada por malfeitores, o resultado teria sido “o maior vazamento de dados da história”.
O aspecto mais flagrante da falha de privacidade é que um pesquisador de segurança diferente alertou a Meta sobre o problema há mais de oito anos e, durante todo esse tempo, a empresa não conseguiu implementar a medida de proteção incrivelmente simples necessária para corrigi-lo.
Relatórios com fio.
A adoção em massa do WhatsApp decorre em parte da facilidade de encontrar um novo contato na plataforma de mensagens: adicione o número de telefone de alguém e o WhatsApp mostra instantaneamente se essa pessoa está no serviço e, muitas vezes, também a foto e o nome do perfil.
Acontece que repita o mesmo truque alguns bilhões de vezes com todos os números de telefone possíveis, e o mesmo recurso também pode servir como uma maneira conveniente de obter o número de celular de praticamente todos os usuários do WhatsApp no mundo – junto com, em muitos casos, fotos de perfil e texto que identifica cada um desses usuários.
Um pesquisador de segurança em 2017 descobriu que a empresa não oferece limite para o número de verificações de números de telefone que você pode realizar, possibilitando esse tipo de ataque. Inacreditavelmente, oito anos depois, um grupo de pesquisadores austríacos da Universidade de Viena conseguiu explorar exatamente a mesma falha para obter o número de telefone de quase todos os usuários do WhatsApp.
Eles levaram apenas meia hora para capturar os primeiros 30 milhões de números de telefone dos EUA e, depois disso, seguiram em frente.
“Até onde sabemos, isto marca a exposição mais extensa de números de telefone e dados de utilizadores relacionados alguma vez documentada”, afirma Aljosha Judmayer, um dos investigadores da Universidade de Viena que trabalhou no estudo.
Os pesquisadores, é claro, agiram de forma responsável, excluindo o banco de dados de números de telefone e alertando o Meta. A empresa levou cerca de mais seis meses para implementar uma medida de limitação de taxa para evitar que o recurso fosse explorado em grande escala.
O WhatsApp afirma que já estava trabalhando nisso e afirma não ter encontrado nenhuma evidência de agentes maliciosos explorando a falha.
Acessórios em destaque
Foto de camilo jimenez no Unsplash
FTC: Usamos links de afiliados automotivos para geração de renda. Mais.
