Массовый слив данных: как 3,5 миллиарда номеров WhatsApp оказались в открытом доступе

В последнее время крупные технологические компании сталкиваются с серьезными утечками данных, возникающими из-за слабых или неправильно защищенных API-интерфейсов. Среди них — такие гиганты, как Facebook, Twitter и Dell. Новая крупная утечка связана с мессенджером WhatsApp, где исследователи смогли собрать информацию о 3,5 миллиарда телефонных номеров, воспользовавшись уязвимостью в системе обнаружения контактов.

Как произошла утечка и в чем заключается проблема

Инцидент начался с использования API WhatsApp GetDeviceList — интерфейса, который применяется при добавлении контактов. Этот API позволяет системе проверять, зарегистрирован ли номер в WhatsApp, и какие устройства связаны с аккаунтом. Основная проблема — отсутствие адекватных ограничений по количеству запросов. Это сделало возможным массовое сканирование номеров без риска блокировки.

Исследователи из Венского университета и SBA Research протестировали систему, используя всего пять авторизованных сессий и один сервер. Они отправляли миллионы запросов и обнаружили, что WhatsApp не реагирует — система не блокировала и не замедляла запросы.

В результате за час можно было проверить более 100 миллионов номеров. После создания базы из 63 миллиардов возможных мобильных номеров, ученые подтвердили активность 3,5 миллиарда аккаунтов в WhatsApp, получая доступ к профилям, фотографиям, статусам и другим личным данным.

Глубже в личные данные и их последствия

Используя дополнительные API-интерфейсы, исследователи собрали более подробную информацию, включая фотографии профилей, описания и даже публичные ключи. В США за один тест было скачано 77 миллионов фотографий профилей, что подтверждает масштабность утечки. Многие изображения содержали лица людей, а описания часто раскрывали личные сведения или ссылки на другие аккаунты.

Для сравнения, в 2021 году утечка данных из Facebook привела к распространению информации о 533 миллионах пользователей. Аналогичные ситуации возникали и с Twitter, и с Dell. Общий корень всех этих случаев — отсутствие или слабость лимитов API, позволяющая злоумышленникам массово собирать личные данные.

Что делают разработчики и как защититься

Важно отметить, что исследователи не публиковали собранные данные и сообщили о проблеме WhatsApp. Компания уже внедрила механизмы ограничения скорости запросов, чтобы предотвратить повторные атаки. Однако факт остается фактом: при наличии у злоумышленников достаточных ресурсов и знаний, подобные утечки могут повториться.

Для пользователей существует ряд мер, снижающих риск злоупотреблений:

• Включайте двухфакторную аутентификацию (2FA) для WhatsApp и других важных аккаунтов.
• Используйте менеджер паролей для создания уникальных и сложных паролей.
• Проверяйте, не были ли ваши электронные письма скомпрометированы в утечках — современные менеджеры паролей помогают в этом.
• Отказаться от публикации личных данных на сайтах поиска и в базах данных — чем меньше информации доступно, тем сложнее мошенникам создавать фальшивые профили.
• Настраивайте приватность профиля — ограничивайте видимость фотографий, статусов и информации о последнем посещении.

Дополнительные советы по защите

Обязательно устанавливайте антивирусное программное обеспечение — оно поможет блокировать вредоносные ссылки и обнаружить фишинговые атаки. Не реагируйте на неожиданные сообщения, не кликайте по подозрительным ссылкам и не сообщайте коды подтверждения злоумышленникам.

Несмотря на исправление уязвимости в WhatsApp, проблема остается актуальной для всех платформ с открытыми API. Недостаточные ограничения по количеству запросов создают «окно возможностей» для злоумышленников, и без обязательных мер безопасности масштабные утечки продолжат повторяться.

Следите за новостями и обновлениями по кибербезопасности, чтобы своевременно реагировать и защищать свою личную информацию. А чтобы проверить, не оказались ли ваши данные на публичных ресурсах, воспользуйтесь сервисами по удалению информации и регулярно обновляйте настройки приватности.