Исследователи безопасности обнародовали шокирующие данные: база данных с 3,5 миллиардами номеров телефонов пользователей WhatsApp оказалась под угрозой утечки. При этом взлома не было — злоумышленники просто использовали уязвимость в веб-версии мессенджера.
Метод оказался до абсурдности прост: с помощью автоматического скрипта можно было последовательно перебирать номера телефонов в международном формате и проверять, зарегистрированы ли они в WhatsApp. Если номер был активен, скрипт «вытягивал» из системы всю общедоступную информацию: фотографию профиля, статус и другие данные, указанные пользователем.
Масштабы потенциального ущерба колоссальны. У половины проверенных номеров злоумышленники могли получить фото профиля, а у двух третей — всю личную информацию из статусов. Собранные данные позволяют создавать масштабные базы для фишинга, спам-рассылок и социальной инженерии.
Поражает тот факт, что о данной уязвимости было известно ещё в 2017 году, однако её владелец — корпорация Meta (признана экстремистской и запрещена в РФ) — так и не устранил фундаментальную проблему.
Наибольшие риски возникли для пользователей из стран, где WhatsApp запрещён или ограничен, — Китая и Мьянмы. Там за использование VPN для доступа к мессенджеру грозит тюремное заключение. Теперь же утечка данных может помочь властям идентифицировать тех, кто обходил запреты, подвергая их реальной опасности.
Такое пренебрежение безопасностью пользователей и медлительность технологических гигантов создают угрозу для миллиардов людей по всему миру.
*Принадлежит Meta, признанной экстремистской и запрещённой в России