Wyciek danych WhatsApp ujawnia 3,5 miliarda numerów telefonów poprzez lukę w API

Większość głównych platform poradziła sobie z masowymi wyciekami danych Słabe lub niepewne interfejsy API. Widzieliście tę sytuację w przypadku Facebooka, X, a nawet firmy Dell.

Wzór jest zawsze taki sam. Funkcja ułatwiająca życie staje się bramą do zbiorczego gromadzenia danych.

WhatsApp znalazł się teraz na tej liście po tym, jak badaczom udało się wyłudzić 3,5 miliarda numerów telefonów, wykorzystując lukę w systemie wykrywania kontaktów aplikacji.

Zarejestruj się, aby otrzymać mój darmowy raport CyberGuy
Otrzymuj moje najlepsze wskazówki techniczne, pilne alerty dotyczące bezpieczeństwa i ekskluzywne oferty prosto do swojej skrzynki odbiorczej. Dodatkowo otrzymasz natychmiastowy dostęp do mojego Przewodnika po przetrwaniu w oszustwie — bezpłatnie, jeśli dołączysz do mnie CYBERGUY.COM Biuletyn

Jak badacze pozbyli się numerów WhatsApp 3,5 miliarda

WhatsApp blokuje 6,8 miliona fałszywych kont i uruchamia narzędzia bezpieczeństwa

Badacze odkryli, że słabe limity API umożliwiły zeskrobanie miliardów numerów WhatsApp. (Getty Images)

Jak donosi Bleeping Computer, cały incydent rozpoczął się od interfejsu API GetDeviceList WhatsApp. Jest to punkt końcowy używany przez aplikację podczas dodawania numeru do kontaktów. Dzięki temu WhatsApp ma sprawdzić, czy numer ma konto i jakie urządzenie jest z nim powiązane. Problem polegał na tym, że interfejs API nie miał znaczącego limitu szybkości. Mówiąc najprościej, system nie zwalniał ani nie blokował powtarzających się żądań, co otworzyło drzwi do obliczeń masowych.

Naukowcy z Uniwersytetu Wiedeńskiego i SBA Research postanowili sprawdzić, jak daleko mogą to przesunąć. Korzystając z zaledwie pięciu uwierzytelnionych sesji i jednego serwera uniwersyteckiego, zaczęli wysyłać zapytania do serwerów WhatsApp. Spodziewali się szybkiego zablokowania, ale WhatsApp w ogóle nie odpowiedział.

W ten sposób co godzinę mogli sprawdzić ponad 100 milionów numerów telefonów. Po utworzeniu globalnej puli 63 miliardów potencjalnych numerów telefonów komórkowych przeprowadzili listę przez API i potwierdzili, że liczba aktywnych kont WhatsApp wynosi 3,5 miliarda.

Badaczom udało się zebrać więcej niż tylko numery telefonów

Badacze nie przestali potwierdzać istnienia konta. Aby uzyskać więcej szczegółów, wykorzystano inne punkty końcowe WhatsApp, takie jak GetUserInfo, GetPrekeys i FetchPicture. Obejmuje to zdjęcia profilowe, tekst „o”, informacje o urządzeniu i klucze publiczne. W jednym teście przeprowadzonym w samych Stanach Zjednoczonych pobrano 77 milionów zdjęć profilowych bez przekroczenia limitu, a wiele z nich zawierało wyraźne obrazy ludzkich twarzy. Publiczne sekcje „O mnie” często ujawniają dane osobowe lub linki do innych profili. W porównaniu z odpadami Facebooka z 2021 r. okazało się, że 58 procent numerów Facebooka, które wyciekły, jest nadal aktywnych w WhatsApp po latach. Co sprawia, że Wyciek numeru telefonu Takie szkodliwe. Pozostają przydatne dla atakujących nawet po początkowym naruszeniu.

Rosyjscy prawodawcy twierdzą, że WhatsApp stanowi zagrożenie dla bezpieczeństwa narodowego, dlatego kraj powinien być przygotowany na opuszczenie kraju

Należy zauważyć, że badanie to zostało przeprowadzone przez badaczy, którzy nie ujawnili danych. O sprawie poinformowali także na WhatsAppie. Firma dodała ochronę ograniczającą stawki, aby zapobiec powtarzaniu się podobnych nadużyć. Wyniki pokazują jednak, jak łatwo ugrupowania zagrażające mogły zrobić to samo, gdyby najpierw odkryły lukę.

Dlaczego dzieje się tak na głównych platformach?

Słabe lub nieistniejące limity szybkości API doprowadziły w ostatnich latach do kilku poważnych wycieków danych, a WhatsApp nie jest jedynym przykładem. W 2021 roku napastnicy nadużyli funkcji „Dodaj znajomego” na Facebooku, przesyłając listy kontaktów i sprawdzając, które numery odpowiadają aktywnym kontom. API nie miało odpowiedniej ochrony, więc zeskrobano 533 miliony profili. Meta potwierdziła później, że incydent był automatycznym złomowaniem, a irlandzki DPC nałożył na firmę karę w wysokości 265 mln euro.

Twitter miał podobny problem, gdy atakujący go użyli Błąd API w dopasowywaniu numerów telefonów i adresy e-mail na 54 milionach kont. Firma Dell poinformowała również, że 49 milionów rekordów klientów zostało skradzionych po tym, jak osoby atakujące wykorzystały niezabezpieczony punkt końcowy interfejsu API.

Wszystkie te przypadki mają tę samą pierwotną przyczynę. Interfejsy API umożliwiające wyszukiwanie kont lub zapytania o dane są łatwiejsze do ataku, jeśli nie ograniczają częstotliwości dostępu do nich. Niesprawdzona funkcja może stać się potokiem masowego gromadzenia danych.

7 kroków, które możesz podjąć, aby chronić swoje dane WhatsApp

Jeśli Twój numer telefonu trafi na jeden z tych gigantycznych kawałków, nie będziesz mógł go odzyskać, ale możesz mieć pewność, że będzie znacznie mniej skuteczny dla osób, które będą próbowały Cię obrać za cel. Oto kilka kroków, które pomogą Ci zachować bezpieczeństwo

1) Użyj uwierzytelniania dwuskładnikowego

Włącz 2FA dla WhatsApp i innych ważnych kont. Nawet jeśli ktoś zna Twój numer, nie będzie mógł się zalogować bez drugiego etapu weryfikacji. Chroni Cię również przed próbami wymiany karty SIM, ponieważ złodzieje nie mogą uzyskać dostępu do Twojego konta za pomocą samego hasła.

Prosty zautomatyzowany skrypt pobiera dane z telefonu na masową skalę bez wywoływania alertu (Icrave Productions/Getty Images)

2) Użyj menedżera haseł

Menedżer haseł sprawia, że ​​każde logowanie jest unikalne. Jeśli napastnicy spróbują powiązać Twój skradziony numer z atakiem polegającym na fałszowaniu danych uwierzytelniających, ponowne użycie haseł nie zapewni im łatwej wygranej. Silne, losowe hasła powstrzymują całą kategorię automatycznych ataków.

Następnie sprawdź, czy Twój adres e-mail został ujawniony w wyniku wcześniejszych naruszeń. Nasz numer 1 wśród menedżerów haseł ma wbudowany skaner naruszeń, który sprawdza, czy Twój adres e-mail lub hasło nie zostały naruszone. Jeśli znajdziesz dopasowanie, natychmiast zmień ponownie użyte hasła i zabezpiecz te konta nowymi, unikalnymi danymi uwierzytelniającymi.

Tutaj znajdziesz najlepszych ocenionych przez ekspertów menedżerów haseł z 2025 roku Cyberguy.com.

3) Usuń swoje dane z publicznych baz danych

Kiedy tylko możesz, rezygnować z brokerów danych i witryn wyszukiwania osób. Im mniej informacji publicznych osoby atakujące mogą powiązać z Twoim numerem, tym trudniej jest im tworzyć wiarygodne wiadomości phishingowe lub oszustwa oparte na tożsamości.

Chociaż żadna Usługa nie może zagwarantować całkowitego usunięcia Twoich danych z Internetu, a Usługi usuwania danych Rzeczywiście mądry wybór. Nie są tanie, podobnie jak Twoja prywatność. Usługi te wykonują całą pracę za Ciebie, aktywnie monitorując i systematycznie usuwając Twoje dane osobowe z setek stron internetowych. Daje mi to spokój ducha i okazało się najskuteczniejszym sposobem na usunięcie Twoich danych osobowych z Internetu. Ograniczając dostępne informacje, zmniejszasz ryzyko, że oszuści będą porównywać dane pochodzące z naruszenia z informacjami, które mogą znaleźć w ciemnej sieci, co utrudnia im namierzenie Ciebie.

Czy numer telefonu Twojego znajomego został przejęty? Oto, co warto zobaczyć

Sprawdź moje najlepsze usługi usuwania danych i skorzystaj z bezpłatnego skanowania, aby sprawdzić, czy Twoje dane osobowe nie znajdują się już w Internecie Cyberguy.com.

Uzyskaj bezpłatne skanowanie, aby sprawdzić, czy Twoje dane osobowe znajdują się już w Internecie: Cyberguy.com.

4) Ogranicz to, co udostępniasz w biografiach profili

Ogranicz do minimum tekst „O programie” w WhatsApp. Unikaj szczegółów, takich jak stanowisko, miasto rodzinne lub linki do innych kont. Ukryte numery telefonów są często łączone z publicznie widocznymi biografiami, aby stworzyć pełny profil oszustwa.

5) Popraw ustawienia prywatności

Określ, kto może zobaczyć Twoje zdjęcie profilowe, ostatnio widziany i status. Ustawienie opcji „Tylko kontakty” lub „Nikt” uniemożliwia obcym osobom pobieranie większej ilości danych osobowych, jeśli otrzymają Twój numer. Aby zaostrzyć ustawienia prywatności w WhatsApp na iPhonie lub Androidzie, wykonaj następujące kroki:

• Otwarte WhatsApp na Twoim telefonie na Twoim telefonie
• idź do Ustawienia: NA iPhone’aUzyskiwać „Ustawienia” – ikona koła zębatego Włącz prawy dolny róg Androiddotknij trzy pionowe punkty w prawym górnym rogu, a następnie wybierz „Ustawienia”.
• uzyskiwać „Konto.”
• uzyskiwać „Prywatność.”
• Dostosuj poniższe opcje prywatności, aby kontrolować, kto może zobaczyć Twoje dane osobowe:
• Ostatnio widziany i online: Uzyskiwać „Ostatnio widziany i online” i wybierz „Moje kontakty” Lub „ktoś” Aby ograniczyć liczbę osób, które mogą zobaczyć Twój ostatni aktywny status.
• Zdjęcie profilowe: Uzyskiwać „zdjęcie profilowe” i wybierz „mój kontakt” Lub „ktoś” Aby uniemożliwić nieznajomym zobaczenie Twojego zdjęcia profilowego.
• O: uzyskiwać „o” i sortowanie „Moje kontakty” Lub „ktoś” Aby ograniczyć liczbę osób, które mogą zobaczyć informacje o Tobie.
• Stan : schorzenie: uzyskiwać „Status,” Następnie wybierz „mój kontakt” „Bez mojej znajomości…,” Lub „Udostępnij tylko z…”, aby kontrolować, kto może zobaczyć aktualizacje Twojego statusu.

Zmiany te uniemożliwiają osobom spoza Twoich kontaktów lub nieznajomym pobieranie danych osobowych z Twojego profilu WhatsApp, skutecznie zwiększając Twoją prywatność na urządzeniach iPhone lub Android.

Ze względu na brak odpowiedniego ograniczenia szybkości w systemie złomowanie pozostawało niezakłócone przez wiele miesięcy. (Kurt Knutson)

6) Zainstaluj silne oprogramowanie antywirusowe

Wiele kampanii phishingowych i złośliwych programów zaczyna się od zdrapanych liczb. Potężne oprogramowanie antywirusowe może blokować Złośliwy linkWykrywaj złośliwe pliki do pobrania i ostrzegaj, jeśli coś wygląda podejrzanie

Najlepszym sposobem ochrony przed złośliwymi linkami instalującymi złośliwe oprogramowanie, potencjalnie uzyskujące dostęp do Twoich danych osobowych, jest zainstalowanie silnego oprogramowania antywirusowego na wszystkich swoich urządzeniach. Ta ochrona może ostrzegać Cię o e-mailach typu phishing i oszustwach związanych z oprogramowaniem ransomware, zapewniając bezpieczeństwo Twoich danych osobowych i zasobów cyfrowych.

Poznaj moje typy najlepszych zwycięzców ochrony antywirusowej 2025 dla urządzeń z systemem Windows, Mac, Android i iOS Cyberguy.com.

7) Uważaj na nieznane połączenia i wiadomości

Traktuj nieoczekiwane wiadomości z większą podejrzliwością. Nie klikaj linków, nie udostępniaj haseł jednorazowych i nie odpowiadaj na prośby o podanie kodu weryfikacyjnego. Po wyczerpaniu tych liczb oszuści zwiększają wysiłki związane ze spamem i podszywaniem się pod inne osoby.

Kluczowe danie na wynos Kurta

WhatsApp mógł rozwiązać problem, ale większe problemy nadal pozostają. Każda platforma, która publikuje API bez odpowiednich limitów szybkości, pozostawia otwarte okno dla każdego, kto ma odpowiednie narzędzia i wystarczająco dużo czasu. Ten fragment pokazuje, jak szybko system Windows może zamienić się w wąż strażacki z danymi osobowymi. Dopóki bezpieczeństwo API nie stanie się powszechnym priorytetem, tego typu wycieki będą pojawiać się na coraz większą skalę.

Czy uważasz, że aplikacje powinny być prawnie zobowiązane do egzekwowania ścisłych limitów API? Napisz do nas i daj nam znać Cyberguy.com.

Kliknij tutaj, aby pobrać aplikację Fox News

Zarejestruj się, aby otrzymać mój darmowy raport CyberGuy
Otrzymuj moje najlepsze wskazówki techniczne, pilne alerty dotyczące bezpieczeństwa i ekskluzywne oferty prosto do swojej skrzynki odbiorczej. Dodatkowo otrzymasz natychmiastowy dostęp do mojego Przewodnika po przetrwaniu w oszustwie — bezpłatnie, jeśli dołączysz do mnie CYBERGUY.COM Biuletyn

Prawa autorskie 2025 CyberGuy.com. Wszelkie prawa zastrzeżone