Μια νέα αποκάλυψη από ομάδα Αυστριακών ερευνητών έρχεται να ταρακουνήσει την εικόνα του WhatsApp ως ασφαλούς πλατφόρμας επικοινωνίας. Σύμφωνα με τη μελέτη τους, μέχρι πρόσφατα ήταν εφικτό να συλλεχθούν με απίστευτη ευκολία οι αριθμοί τηλεφώνου όλων των 3,5 δισεκατομμυρίων χρηστών της υπηρεσίας. Και δεν σταματά εκεί: για πάνω από τους μισούς χρήστες ήταν ορατές και οι φωτογραφίες προφίλ, ενώ για σχεδόν ένα τρίτο, ακόμη και τα προσωπικά status updates.
Το εντυπωσιακό και ανησυχητικό στοιχείο δεν είναι απλώς η κλίμακα της διαρροής, αλλά το γεγονός ότι δεν χρειάστηκε καμία εξειδικευμένη τεχνική ή κάποια εξελιγμένη επίθεση για να συμβεί. Οι ερευνητές απλώς έκαναν ό,τι μπορεί να κάνει κάθε χρήστης: προσπάθησαν να προσθέσουν έναν αριθμό επαφής. Το WhatsApp, όπως πάντα, απαντά εάν ο αριθμός αντιστοιχεί σε ενεργό λογαριασμό και εμφανίζει τη σχετική δημόσια πληροφορία. Το μόνο που άλλαξε ήταν το μέγεθος της επιχείρησης: εκείνοι επανέλαβαν αυτή τη διαδικασία για δισεκατομμύρια αριθμούς, χρησιμοποιώντας το WhatsApp Web για να αυτοματοποιήσουν τους ελέγχους.
Αξιοποιώντας την browser-based έκδοση της υπηρεσίας, η ομάδα έφτασε να επεξεργάζεται μέχρι και 100 εκατομμύρια αριθμούς ανά ώρα στις αρχές του έτους. Κι όλα αυτά χωρίς κάποιο περιορισμό από την πλατφόρμα. Παρά το γεγονός ότι η Meta είχε ενημερωθεί για τον κίνδυνο ήδη από το 2017 από άλλο ερευνητή, κανένα ουσιαστικό μέτρο δεν είχε ληφθεί για να περιοριστεί η κατάχρηση της λειτουργίας προσθήκης επαφών.
Μόνο όταν οι Αυστριακοί ερευνητές επανέφεραν το ζήτημα τον περασμένο Απρίλιο, η εταιρεία άρχισε να κινείται. Τον Οκτώβριο εφαρμόστηκαν επιτέλους rate limits για να αποτρέψουν παρόμοιες μαζικές σάρωσης στο μέλλον. Για χρόνια, όμως, το WhatsApp είχε αφήσει ανοιχτή μια σημαντική τρύπα, επιτρέποντας σε κάθε πιθανό κακόβουλο παράγοντα να δημιουργήσει βάσεις δεδομένων με παγκόσμια κλίμακα.
Η Meta, από την πλευρά της, υποβάθμισε το περιστατικό. Υποστηρίζει ότι πρόκειται για βασικά δημόσια στοιχεία, τα οποία ο χρήστης μπορεί να επιλέξει να κρύψει μέσα από τις ρυθμίσεις ιδιωτικότητας. Παράλληλα, διαβεβαιώνει ότι δεν εντοπίστηκε ένδειξη κατάχρησης από κακόβουλους χρήστες και ότι δεν υπήρξε πρόσβαση σε μη δημόσια δεδομένα. Ωστόσο, η πραγματικότητα παραμένει: για μεγάλο χρονικό διάστημα, κάθε χρήστης του WhatsApp ήταν δυνητικά εκτεθειμένος σε τεράστια κλίματα συλλογής δεδομένων, χωρίς να το γνωρίζει.
Το πρόβλημα όμως δεν αφορά μόνο το WhatsApp. Η ίδια η αρχιτεκτονική της πλατφόρμας, η εύκολη εύρεση χρηστών μέσω αριθμού τηλεφώνου, που στο παρελθόν αποτέλεσε πυλώνα της ραγδαίας εξάπλωσής της, αποδεικνύεται τώρα και η αχίλλειος πτέρνα της. Η δημοτικότητα του συστήματος σύνδεσης μέσω αριθμού, που προσφέρει ευκολία στην καθημερινή χρήση, επιτρέπει ταυτόχρονα στους ερευνητές (και εν δυνάμει στους κακόβουλους φορείς) να εντοπίζουν και να συσχετίζουν παγκόσμιους αριθμούς τηλεφώνου χωρίς ουσιαστικό φραγμό.
Οι συνέπειες αυτής της ευπάθειας είναι δύσκολο να υποτιμηθούν. Μια βάση δεδομένων με 3,5 δισεκατομμύρια αριθμούς, συνοδευόμενη από φωτογραφίες και προφίλ, μπορεί να αποτελέσει χρυσό για spammers, scammers και ομάδες που αναζητούν προσωπικά στοιχεία για εξαπάτηση ή στοχευμένες επιθέσεις. Ακόμη κι αν η Meta δεν εντόπισε επίσημα καταχρήσεις, είναι εξαιρετικά δύσκολο να αποδειχθεί ότι δεν έχουν δημιουργηθεί τέτοιες βάσεις δεδομένων όλα αυτά τα χρόνια.
Το περιστατικό αναζωπυρώνει και το ευρύτερο ερώτημα για τον χαρακτήρα των messaging apps σήμερα: πόσο μπορούν πραγματικά να προστατεύσουν την ιδιωτικότητά μας όταν ολόκληρη η λειτουργία τους βασίζεται σε στοιχεία που ο καθένας μπορεί να δοκιμάσει, να αντιγράφει και να εκμεταλλευτεί; Η end-to-end κρυπτογράφηση προστατεύει τα μηνύματα, αλλά η ταυτότητα των χρηστών παραμένει εκτεθειμένη σε μια διαδικασία ανακάλυψης που φαίνεται σχεδόν αφελής για τα δεδομένα του 2025.
