Масштабные утечки данных и уязвимости популярных платформ
За последние годы крупные интернет-сервисы неоднократно сталкивались с серьезными утечками информации, зачастую вызванными недостаточной защитой или отсутствием должных ограничений в API. Такие ситуации происходили с Facebook, Twitter, Dell и многими другими. Обычно проблема заключается в том, что функции, предназначенные для удобства пользователей, превращаются в уязвимые точки для массового сбора данных.
Как в данном случае был украден и опубликован миллиард номеров WhatsApp
Недавний инцидент касается WhatsApp, который оказался в центре внимания после того, как исследователи сумели собрать и обработать 3,5 миллиарда телефонных номеров благодаря уязвимости в системе поиска контактов внутри приложения.
Обнаружение уязвимости через API GetDeviceList
Основной причиной утечки стала публичная API-функция GetDeviceList. Эта точка входа используется при добавлении контактов и отвечает за проверку наличия аккаунта по номеру и привязанных к нему устройств. К сожалению, API не имела адекватных ограничений по частоте запросов, что позволяло злоумышленникам отправлять огромное количество запросов без ограничений.
Проведение масштабного теста и сбор данных
Группа исследователей из Венского университета и SBA Research решила проверить, насколько далеко можно зайти при использовании этой уязвимости. Они использовали всего пять авторизованных сессий и один университетский сервер для отправки запросов. Ожидая блокировки, они были удивлены — WhatsApp не предпринял никаких мер против такого масштабного тестирования.
Благодаря этому им удалось обрабатывать более 100 миллионов номеров в час. В результате они создали глобальный список из 63 миллиардов возможных мобильных номеров и проверили их через API — подтвердив существование 3,5 миллиарда активных аккаунтов WhatsApp.
Дополнительные данные и детали аккаунтов
Исследователи не ограничились только определением активных аккаунтов. Они использовали другие API-методы, такие как GetUserInfo, GetPrekeys и FetchPicture, чтобы получить больше информации: фотографии профилей, статусные сообщения, сведения об устройствах и публичные ключи. В рамках теста в США удалось скачать 77 миллионов фотографий профилей, многие из них содержали четкое изображение лиц. Открытые «о себе» разделы часто раскрывали личные данные или ссылки на другие профили.
Параллельно с этим исследователи обнаружили, что 58% номеров, украденных в 2021 году при утечке из Facebook, оставались активными в WhatsApp спустя годы. Это показывает, насколько опасным может быть утекание телефонных номеров — информация остается полезной для злоумышленников длительное время.
Реакция и меры безопасности после утечки
Важно отметить, что исследование проводилось без публикации собранных данных. После обнаружения уязвимости команда уведомила WhatsApp, и компания приняла меры по добавлению ограничений по скорости запросов, чтобы предотвратить подобные злоупотребления в будущем. Однако данный случай показывает, насколько легко злоумышленники могут использовать подобные уязвимости, если их обнаружат раньше.
Недостаточные ограничения API вызывают массовые утечки данных не впервые. Например, в 2021 году злоумышленники использовали API Facebook для автоматического сбора информации о 533 миллионах пользователей, а API Twitter и Dell также становились жертвами автоматизированного сканирования и взлома. Основная причина — отсутствие жестких лимитов и ограничений на частоту запросов.
Что делать, если ваш номер попал в утечку?
Если ваш телефонный номер оказался среди украденных данных, вы не сможете его полностью вернуть, но есть способы сделать его менее привлекательным для злоумышленников:
- Активируйте двухфакторную аутентификацию (2FA) для WhatsApp и других важных аккаунтов. Это усложнит взлом даже при наличии номера.
- Используйте менеджер паролей, чтобы создавать уникальные и сложные пароли. Если злоумышленники попытаются использовать автоматические атаки, они натолкнутся на сильные пароли.
- Проверьте, не были ли ваши адреса электронной почты скомпрометированы в прошлых утечках. Надежные менеджеры паролей предлагают встроенные сканеры взломов.
- Отписывайтесь от баз данных и сайтов поиска людей, чтобы снизить публичность ваших данных. Чем меньше информации о вас доступно, тем сложнее злоумышленникам создавать фальшивые профили или осуществлять фишинговые атаки.
- Рассмотрите услуги по удалению личных данных из интернета. Они помогают систематически удалять информацию с различных ресурсов и уменьшают риски мошенничества.
Как защитить свои данные и повысить приватность в WhatsApp
Чтобы снизить риск использования ваших данных злоумышленниками, рекомендуется минимизировать публичную информацию в профиле:
- Ограничьте видимость поля «о себе» и фото профиля — делайте их доступны только для контактов или полностью скрывайте.
- Настройте параметры приватности: запретите незнакомым видеть ваше последнее онлайн-время, статус и фото.
Также важно использовать антивирусные программы для защиты от вредоносных ссылок и фишинговых писем. Сильное антивирусное обеспечение поможет обнаружить и блокировать вредоносные файлы и подозрительные сообщения.
Всегда относитесь с подозрением к неожиданным сообщениям, не кликайте на ссылки и не делитесь кодами подтверждения — это основные способы мошенников получить доступ к вашим аккаунтам.
Артем Мельник
Артем — эксперт по ИТ и новым технологиям, освещает стартапы, кибербезопасность и разработки украинских программистов. Ранее работал в сфере разработки ПО.