奥地利的研究人员利用WhatsApp中的一个漏洞收集了超过35亿用户的个人数据,他们认为这可能是“历史上最大的数据显示泄漏”。…

这个消息平台允许用户通过输入电话号码来查找其他人的信息。这个功能已经在平台上存在多年,可以被滥用来枚举用户数据,包括电话号码、姓名,以及在某些情况下,如果用户设置了个人资料图片,还可以获取他们的个人资料图片。

研究人员利用这个功能,以每小时超过1亿个账户的速度收集用户信息,他们通过输入使用他们构建的工具生成的630亿个电话号码来实现这一点,该工具基于谷歌的libphonenumber技术。

通常情况下,平台会依赖速率限制来防止这种滥用,但WhatsApp仍然允许如此大规模的枚举,研究人员“没有遇到任何阻止或有效的速率限制。”

研究人员写道[PDF]:“令我们惊讶的是,我们的IP地址和账户都没有被WhatsApp封锁。此外,我们没有经历任何限制性的速率限制。以每秒(每个会话)7000个电话号码的查询速度,我们确认了在WhatsApp上注册的35亿个电话号码(超过WhatsApp官方声明的‘超过20亿人’)。"

在他们枚举的活跃账户中,超过57%有个人资料图片,其中三分之二包含可识别的人脸。研究人员表示,这可以用来建立一个反向电话簿,通过一个人的图像揭示其他信息。

大约29%的账户在个人资料中有文本,这也能更全面地展示每个用户。

记者、研究人员和其他相关人士常常查看数据泄露的报道,发现仅包含基本个人信息,并得出结论认为这些事件的严重性实际上相对较低,因为这些信息通常已经在公共领域中。

然而,个人资料中包含的文本在某些情况下可能会揭示用户的其他敏感信息,例如他们的性取向、政治观点、药物使用和贩卖,以及与LinkedIn、Tinder等其他平台的关联,还有专业电子邮件地址。

关于后者,研究人员还能够将所列电话号码与政府和军方官员联系起来。

此外,几个国家禁止使用WhatsApp。中国、缅甸和北朝鲜是典型的例子,而伊朗和塞内加尔等其他国家曾经实施过禁令,后来又撤销了。

然而,数百万个活跃的WhatsApp账户与在这些国家注册的电话号码相关联,这一发现与WhatsApp首席执行官Will Cathcart之前的承认一致。

像中国这样的国家以迫害违反规定的人而闻名,例如绕过对WhatsApp和其他平台的禁令。据说,后果可能包括被拘留和送往再教育营。

虽然不那么关键,但仍然相关的是网络犯罪分子和麻烦制造者可能滥用的潜在风险。

研究人员表示:“攻击者可能会滥用大规模注册电话号码数据库。因为注册号码通常代表着活跃的设备,所以这些列表成为垃圾邮件、网络钓鱼或自动拨号攻击的可靠依据。”

他们还表示,这引发了一个问题:这些信息能保持有效多久,从而可能被滥用。

以2021年大规模Facebook数据泄露为例——该事件涉及收集了5.33亿人的个人资料,包括电话号码、位置、电子邮件地址、生日和婚姻状况——研究团队发现,在他们从WhatsApp收集的35亿条记录中,有一半的电话号码仍然是活跃的。

《注册》向Meta询问了更多信息,包括在研究人员披露其漏洞奖励计划的滥用潜力后,是否采取了任何额外的保护措施。

这家科技巨头在回应中没有提到额外安全措施的有效性或是否存在,但表示他们已经在开发反抓取系统。

“我们已经在开发行业领先的反抓取系统,这项研究在压力测试和确认这些新防御的即时有效性方面起到了关键作用。重要的是,研究人员已经安全删除了作为研究一部分收集的数据,我们没有发现恶意行为者滥用这一途径的证据。

“需要提醒的是,用户消息由于WhatsApp的默认端到端加密而保持私密和安全,研究人员无法访问任何非公开数据。”

我们还与维也纳大学的博士候选人、SBA Research的研究员Gabriel Gegenhuber进行了交谈,他是论文的共同作者,他确认Meta的回应有效地阻止了这些方法。

他说:“我们在Meta/WhatsApp的修复和重新测试过程中提供了我们的专业知识支持。

“作为该过程的一部分,我们尝试了与原始研究相同的步骤,但很快被阻止。所以,我们可以确认现在已经采取了对策。

“这当然不是对整个 WhatsApp 基础设施进行的详细安全审计。

“在安全领域,证明安全或隐私问题的存在比证明它们不存在要容易得多。”

他还提到论文中列出的披露时间表,以及 Meta 花了近一年才对他们在研究过程中提出的众多问题做出有意义的回应。

Meta 仅请求召开电话会议讨论调查结果,并要求团队成员在向公司提供论文的预印本后,通知他们出版意图并推迟发布。