„WhatsApp“ on üks maailma suurimaid suhtlusplatvorme, mida kasutab üle 3,5 miljardi inimese. Selle populaarsus tuleneb suuresti lihtsast toimimispõhimõttest – suhtlemiseks piisab telefoninumbrist. Just see mugav funktsioon peitis aga aastaid endas tõsist turvanõrkust.
Lihtne viga, mis paljastas miljardid numbrid
Värske uuring näitas, et kuni üsna hiljutise ajani võis igaüks saada kätte iga „WhatsAppi“ kasutaja telefoninumbri. Selleks ei olnud vaja ei eriteadmisi ega häkkimistööriistu – süsteem ise kuvaski vajalikku infot. Turvaviga oli nii elementaarne, et teadlased suutsid seda ära kasutada ilma ühegi tehnilise nipita.
Tänu sellele veale oli võimalik koguda kasutajate numbreid, profiilipilte ja isegi nende olekutekste. See tekitab küsimuse, kuidas nii ilmne probleem sai jääda lahendamata aastaid, kuigi sellele juhiti tähelepanu juba 2017. aastal.
Kuidas teadlased vea avastasid?
Austria teadlased testisid lihtsalt tohutut hulka telefoninumbreid täpselt samamoodi, nagu seda teeks tavaline kasutaja. Kui numbri taga oli „WhatsAppi“ konto, näitas süsteem selle profiiliandmeid. Mingit sissemurdmist ega pahavara ei kasutatud – tegu oli pelgalt massilise numbrite kontrollimisega.
„WhatsApp Webi“ abil suutsid teadlased kontrollida umbes 100 miljonit numbrit tunnis. Nii kogusid nad lühikese ajaga kõigi „WhatsAppi“ kasutajate numbrid ning enam kui poole puhul ka profiilipildid. See näitab, et probleem ei seisnenud turvamehhanismide ümbersõitmises, vaid selles, et elementaarsed kaitsemeetmed lihtsalt puudusid.
Milles seisnes oht?
Kui kurjategijatel on ligipääs miljarditele numbritele, saavad nad luua väga täpseid telefonipettuste andmebaase. Profiilipildid ja olekutekstid aitavad kergemini ofriteks valitud inimesi jäljendada. Sellest infost piisab, et alustada sihitud õngitsuskampaaniaid või läbi viia keerukaid sotsiaalse manipulatsiooni rünnakuid.
Kuigi „Meta“ väidab, et puuduvad tõendid, nagu oleks andmeid massiliselt kuritarvitatud, ei tähenda see, et ohtu ei olnud. Spraga eksisteeris aastaid, mistõttu võib reaalne kahju olla lihtsalt märkamatuks jäänud või väga raskesti tuvastatav.
Kuidas „Meta“ reageeris?
Teadlased andsid „Metale“ turvaveast teada 2024. aasta aprillis. Alles oktoobris lisati süsteemi kiirusepiirang, mis takistab miljonite numbrite kontrollimist ühe tunni jooksul. See oli esimene sisuline samm riski vähendamiseks ja „WhatsAppi“ kasutajate andmete kaitsmiseks.
„Meta“ rõhutas, et kättesaadavad olid üksnes avalikud andmed ning kasutajad saavad privaatsusseadetes ise piirata, kes näevad nende pilte ja kirjeldusi. Samas ei saa vastutust jätta ainult kasutajate õlgadele – süsteem ise oleks pidanud algusest peale olema turvalisem.
Mida see tähendab „WhatsAppi“ kasutajale?
See juhtum näitab, et isegi suurimad platvormid ei ole immuunsed lihtsate, kuid ohtlike vigade suhtes. Telefoninumbrid on tundlikud isikuandmed, mille lekkimine võib kasutajatele tuua väga reaalseid ohte, alates pettustest kuni identiteedivarguseni.
Kuigi turvaauk on nüüdseks parandatud, tuletab see lugu meelde, et mugavus tuleb tihti turvalisuse arvelt. „WhatsAppi“ kasutajad peaksid olema tähelepanelikud ning regulaarselt üle vaatama oma privaatsusseaded ja käitumisviisid internetis, eriti kui jutuks on isiklik info.
