Tutkijat tekivät järkyttävän löydön Whatsappista

Tutkijat pystyivät yhdistämään joitakin puhelinnumeroita jopa hallitusten ja armeijoiden viranhaltijoihin.

Tutkijat kertovat paljastaneensa Whatsappista haavoittuvuuden, jonka avulla he pystyivät keräämään jopa 3,5 miljardin käyttäjän tietoja. Silas Stein

Itävaltalaiset tutkijat väittävät paljastaneensa historian suurimman tietovuodon löydettyään viestipalvelu Whatsappin haavoittuvuuden, kertoo uutissivusto The Register.

Haavoittuvuutta hyödyntämällä tutkijat keräsivät 3,5 miljardin käyttäjän henkilötietoja.

Viestipalvelussa voi hakea muiden henkilöiden tietoja syöttämällä heidän puhelinnumeronsa. Haun takaa paljastuu käyttäjän puhelinnumero, nimi ja joissakin tapauksissa myös profiilikuva, jos käyttäjä on asettanut sellaisen profiiliinsa.

Tutkijat testasivat numeroita massoittain ja havaitsivat, ettei Whatsapp rajoittanut kyselyjen määrää. Palvelu mahdollisti enumeraation eli tietojen kartoittamisen yli 100 miljoonan tilin tuntivauhdilla ilman merkittäviä estoja tai hidasteita.

– Yllätykseksemme Whatsapp ei estänyt IP-osoitettamme tai tilejämme. Emme myöskään kohdanneet merkittäviä rajoituksia. 7 000 puhelinnumeron kyselynopeudella sekunnissa pystyimme vahvistamaan 3,5 miljardia Whatsappiin rekisteröityä numeroa, tutkijat kirjoittavat.

Kerätyistä tileistä yli 57 prosentilla oli profiilikuva, joista suurimmassa osassa esiintyi tunnistettavia kasvoja. Tutkijoiden mukaan tällaisia kuvia voitaisiin hyödyntää käänteisen puhelinluettelon tapaan, jossa käyttäjän kuva paljastaa lisätietoja henkilöstä.

Lisäksi noin 29 prosentilla tileistä oli profiilitekstiä, jota voitaisiin käyttää rakentamaan tarkempi profiili käyttäjästä.

Rikolliset voivat hyödyntää haavoittuvuutta

Ominaisuus on ollut käytössä jo vuosien ajan, vaikka sitä voidaan väärinkäyttää käyttäjätietojen kartoittamiseen. Tutkijat pystyivät yhdistämään joitakin puhelinnumeroita jopa hallitusten ja armeijoiden viranhaltijoihin.

Whatsapp on jo kielletty useissa maissa, kuten Kiinassa, Myanmarissa ja Pohjois-Koreassa. Tästä huolimatta tutkijat löysivät miljoonia aktiivisia Whatsapp-tilejä rekisteröitynä maissa, joissa palvelu on kielletty.

Tutkijoiden mukaan rikolliset ja muut häiriköt voivat hyödyntää haavoittuvuutta.

– Laajoja rekisteröityjen puhelinnumeroiden tietokantoja voidaan käyttää väärin. Koska rekisteröity numero yleensä tarkoittaa aktiivista laitetta, listat ovat hyödyllinen pohja roskapostille, huijausviesteille ja automaattisille robopuheluille.

Whatsappin tekninen johtaja Nitin Gupta kommentoi, että yhtiö on kehittänyt tiedonkeruunestojärjestelmiä ja että tutkimus auttoi niiden testaamisessa.

– Olemme kiitollisia Wienin yliopiston tutkijoille vastuullisesta yhteistyöstä bug bounty -ohjelmassamme. Yhteistyö auttoi tunnistamaan uudenlaisen enumeraatiotekniikan, joka ylitti tarkoitetut rajoituksemme ja mahdollisti julkisesti saatavilla olevien perustietojen massiivisen keräämisen, Gupta sanoi.

– Tutkijat ovat poistaneet keräämänsä datan turvallisesti, eikä meillä ole viitteitä siitä, että pahantahtoiset toimijat olisivat käyttäneet tätä ominaisuutta hyväkseen, hän jatkoi.