Tyrėjai sudarė 3,5 milijardo WhatsApp mobiliųjų telefonų numerių ir susijusios asmeninės informacijos sąrašą, piktnaudžiaudami kontaktų atradimo API, kuriai trūko greičio ribojimo.
Komanda pranešė apie problemą „WhatsApp“, o nuo to laiko bendrovė pridėjo normą ribojančias apsaugos priemones, kad būtų išvengta panašaus piktnaudžiavimo.
Nors šį tyrimą atliko mokslininkai, kurie nepaskelbė duomenų, jis iliustruoja įprastą taktiką, kurią naudoja grėsmės veikėjai, siekdami išgryninti vartotojų informaciją iš viešai atskleistų ir neapsaugotų API.
Piktnaudžiavimas WhatsApp API
Vienos universiteto ir SBA tyrimų mokslininkai naudojo „WhatsApp“ kontaktų paieškos funkciją, leidžiančią pateikti telefono numerį platformos GetDeviceList API galutinis taškas, skirtas nustatyti, ar telefono numeris susietas su paskyra ir kokie įrenginiai buvo naudojami.
Neturint griežto greičio ribojimo, tokiomis API gali būti piktnaudžiaujama, kad būtų galima atlikti didelio masto surašymą visoje platformoje.
Tyrėjai nustatė, kad taip yra su WhatsApp, nes jie galėjo siųsti daug užklausų tiesiai į WhatsApp serverius, patikrindami daugiau nei 100 milijonų numerių per valandą.
Jie atliko visą operaciją iš vieno universiteto serverio, naudodami tik penkias autentifikuotas sesijas, iš pradžių tikėdamiesi, kad juos užklups WhatsApp. Tačiau platforma niekada neblokavo paskyrų, neribojo jų srauto, neribojo jų IP adreso ir niekada nesusisiekė, nepaisant visos piktnaudžiavimo iš vieno įrenginio.
Tada mokslininkai sukūrė pasaulinį 63 milijardų potencialių mobiliojo ryšio numerių rinkinį ir išbandė juos visus pagal API. Jų užklausos grąžino 3,5 milijardo aktyvių „WhatsApp“ paskyrų.
Rezultatai taip pat davė anksčiau nežinomą momentinį vaizdą, kaip WhatsApp naudojamas visame pasaulyje, parodydamas, kur platforma dažniausiai naudojama:
- Indija: 749 mln
- Indonezija: 235 mln
- Brazilija: 206 mln
- Jungtinės Valstijos: 138 mln
- Rusija: 133 mln
- Meksika: 128 mln
Milijonai aktyvių paskyrų taip pat buvo identifikuoti šalyse, kuriose tuo metu buvo uždrausta WhatsApp, įskaitant Kiniją, Iraną, Šiaurės Korėją ir Mianmarą. Irane naudojimas toliau didėjo, nes draudimas buvo panaikintas 2024 m. gruodžio mėn.
Be to, kad patvirtintų, ar telefono numeris buvo naudojamas WhatsApp, tyrėjai naudojo kitus API galutinius taškus, kad surašytų papildomą informaciją apie vartotojus, įskaitant GetUserInfo, GetPrekeysir FetchPicture.
Naudodami šias papildomas API, mokslininkai sugebėjo surinkti profilio nuotraukas, „apie“ tekstą ir informaciją apie kitus įrenginius, susietus su „WhatsApp“ telefono numeriu.
Atlikus JAV skaičių testą, buvo atsisiųsta 77 milijonai profilio nuotraukų be jokių greičio apribojimų, o daugelyje jų buvo atpažįstami veidai. Jei buvo viešas tekstas „apie“, jis taip pat atskleidė asmeninę informaciją ir nuorodas į kitas socialines paskyras.
Galiausiai, kai mokslininkai palygino savo išvadas su 2021 m. „Facebook“ telefono numeriais, jie nustatė, kad 2025 m. 58 % nutekėjusių „Facebook“ numerių vis dar buvo aktyvūs „WhatsApp“. Tyrėjai aiškina, kad didelio masto telefono numerių nutekėjimas yra toks žalingas, nes gali išlikti naudingas kitokiam kenkėjiškam elgesiui daugelį metų.
„Turėdami 3,5 B įrašus (ty aktyvias paskyras), analizuojame duomenų rinkinį, kuris, mūsų žiniomis, būtų klasifikuojamas kaip didžiausias duomenų nutekėjimas istorijoje, jei jis nebūtų sulygintas kaip atsakingai atlikto tyrimo dalis“, – aiškinama dokumente „Ei!
„Duomenų rinkinyje yra telefonų numeriai, laiko žymos, tekstas, profilio nuotraukos ir viešieji E2EE šifravimo raktai, o jo išleidimas turėtų neigiamų pasekmių įtrauktiems vartotojams.
Kiti piktnaudžiavimo API atvejai
Tai, kad „WhatsApp“ neriboja savo API, rodo plačiai paplitusią problemą internetinėse platformose, kur API sukurtos taip, kad būtų lengva dalytis informacija ir atlikti užduotis, tačiau jos taip pat tampa didelio masto grandymo vektoriais.
2021 m. grėsmės veikėjai pasinaudojo „Facebook“ funkcijos „Pridėti draugą“ klaida, leidžiančia įkelti kontaktų sąrašus iš telefono ir patikrinti, ar tie kontaktai yra platformoje. Tačiau ši API taip pat tinkamai neribojo užklausų, todėl grėsmės veikėjai galėjo sukurti 533 milijonų vartotojų profilius, kuriuose būtų nurodyti jų telefono numeriai, „Facebook“ ID, vardai ir lytis.
Vėliau „Meta“ patvirtino, kad duomenys buvo gauti iš automatinio API, kuriai trūko tinkamų apsaugos priemonių, nubraukimo, o Airijos duomenų apsaugos komisija (DPC) skyrė Meta 265 mln. eurų baudą už nutekėjimą.
„Twitter“ susidūrė su panašia problema, kai užpuolikai pasinaudojo API pažeidžiamumu, kad atitiktų telefono numerius ir el. pašto adresus su 54 milijonais paskyrų.
„Dell“ atskleidė, kad 49 milijonai klientų įrašų buvo nubraukti po to, kai užpuolikai piktnaudžiavo neapsaugotu API galutiniu tašku.
Visus šiuos incidentus, įskaitant „WhatsApp“, sukelia API, kurios atlieka paskyros arba duomenų paieškas be tinkamų greičio apribojimų, todėl jos yra lengvos didelio masto surašymo taikiniais.
MCP (Model Context Protocol) tampant LLM prijungimo prie įrankių ir duomenų standartu, saugos komandos sparčiai dirba, kad šios naujos paslaugos būtų saugios.
Šiame nemokamame apgaulės lape pateikiamos 7 geriausios praktikos, kurias galite pradėti naudoti jau šiandien.
