Potenciális horderejében szinte példa nélküli sebezhetőséget fedeztek fel a WhatsApp rendszerében az osztrák főváros állami egyetemének kutatói. Nemrégiben publikált tanulmányuk szerint a platform telefonszám-keresési funkcióját maximális fordulatszámon pörgetve óránként 100 millió fiók nyilvánosan elérhető adatait tudták letölteni, aminek köszönhetően két nap se kellett a hivatalosan több mint 2 milliárd aktív felhasználóval rendelkező csevegőalkalmazás "lementéséhez".

A csapat ehhez első körben a Google libphonenumber technológiáját használva generált 63 milliárd telefonszámot, amelyeket aztán egyesével megetették a WhatsApp keresőjével. Ha utóbbi egyezést talál az adatbázisban, akkor a telefonszámhoz tartozó fiók minden publikus adatát megjeleníti.

Az önmagában hasznos keresési funkció ilyen szintű extrém, visszaélésszerű használatát általában megfelelő biztonsági szűrök és limitek alkalmazásával igyekeznek ellehetetleníteni a nagy mennyiségű személyes adatot kezelő szolgáltatások. Az egyetemi kísérlet során azonban semmiféle ilyen védelmi mechanizmusba nem ütköztek.

Az összesen több mint 3,5 milliárd fiókadat elemzéséből kiderült, hogy azok 57 százaléka rendelkezett profilképpel, melyek kétharmadán felismerhető emberi arc volt látható. A fiókok 29 százalékánál kiegészítő szöveges információt is le tudtak tölteni, ami csak még jobban megkönnyítené a dolgát annak, aki egyfajta fordított telefonkönyv módjára szeretne a lehető legtöbb konmkértumot megtudni egy-egy személyről.

Csak hogy egy nagyon komoly problémát említsünk: a letöltött adatok között több millió kínai és észak-koreai fiókot azonosítottak. Ezekben az országokban elvileg tilos a WhatsApp használata, ezért az azt mégis használó emberek potenciálisan súlyos következményekkel számolhatnak, amennyiben mindez kiderül róluk.

Nincs itt semmi látnivaló, de azért köszönik

A WhatsApp alkalmazást birtokló Meta a publikáció megjelenése előtt javított rendszerén, és másnak már nem sikerülhet az, ami a bécsi kutatóknak elég könnyedén ment. A téma kapcsán Nitin Gupta, a WhatsApp műszaki vezetője azt nyilatkozta a The Registernek, hogy hálásak a kutatóknak "a Bug Bounty program keretében tanúsított felelősségteljes együttműködésükért és szorgalmukért". A cég szakértője azonban azt is igyekezett hangsúlyozni, hogy a nagy mennyiségben begyűjtött adatok nyilvánosan elérhető, alapvető információk voltak – mintegy azt sugallva, hogy nem történt semmiféle drámai dolog.

A Register ugyanakkor megkereste a kutást végző csapat egyik társszerzőjét is, aki megerősítette, hogy a Meta tényleg bezárta a kiskaput, mert az ismételt kísérletük során a rendszer gyorsan blokkolta a próbálkozást. Gabriel Gegenhuber annyiban azonban árnyalta a képet, hogy a közösségi óriásnak "csaknem egy évig tartott, mire érdemi választ adott" a kutatással kapcsolatos beadványaikra. A helyzet csak azt követően gyorsult fel, hogy az egyetemi csapat kilátásba helyezte a tapasztalataik publikálását. Gegenhuber szerint azonban amint odaát "rájöttek a probléma mértékére, komolyan vették és azonnal reagáltak".