Una brecha de seguridad masiva en WhatsApp expuso el número de teléfono de casi todos los usuarios del planeta, a pesar de que la empresa matriz Meta fue alertada de la vulnerabilidad ya en 2017.
Los investigadores de seguridad pudieron utilizar lo que describieron como un exploit «simple» para extraer un total de 3.500 millones de números de teléfono del servicio de mensajería…
Los investigadores dicen que si los malos actores hubieran utilizado el mismo exploit, el resultado habría sido «la mayor filtración de datos de la historia».
El aspecto más atroz de la falla de privacidad es que otro investigador de seguridad alertó a Meta sobre el problema más de una vez. hace ocho añosY mientras tanto, la empresa no implementó la increíblemente simple medida de protección necesaria para resolver el problema.
cableado informes.
La adopción masiva de WhatsApp se debe en parte a lo fácil que es encontrar un nuevo contacto en la plataforma de mensajería: agregue el número de teléfono de una persona y WhatsApp mostrará instantáneamente si está en el servicio y, a menudo, también su foto de perfil y su nombre.
Resulta que se repite este mismo truco mil millones de veces con cada número de teléfono posible, y la misma función también puede ser una forma conveniente de obtener el número de celular de prácticamente todos los usuarios de WhatsApp en el mundo, así como, en muchos casos, fotos de perfil y texto que identifican a cada uno de esos usuarios.
Un investigador de seguridad descubrió en 2017 que la empresa no impone límites a la cantidad de verificaciones de números de teléfono que puede realizar, lo que permite este tipo de ataque. Increíblemente, ocho años después, un grupo de investigadores austriacos de la Universidad de Viena logró explotar exactamente el mismo error para obtener el número de teléfono de casi todos los usuarios de WhatsApp.
Sólo les llevó media hora capturar los primeros 30 millones de números de teléfono estadounidenses, y después de eso, continuaron.
«Hasta donde sabemos, esta es la exposición más amplia de números de teléfono y datos de usuarios asociados jamás documentada», dice Aljosha Judmayer, una de las investigadoras de la Universidad de Viena que trabajó en el estudio.
Por supuesto, los investigadores actuaron de manera responsable al eliminar la base de datos de números de teléfono y alertar a Meta. La empresa tardó unos seis meses adicionales en implementar una medida de limitación de velocidad para evitar que la función fuera explotada a tal escala.
WhatsApp dice que ya estaba trabajando en esto y dice que no ha encontrado evidencia de que malos actores aprovechen la falla.
Accesorios destacados
Foto por Camilo Jiménez seguro desempaquetar
FTC: Utilizamos enlaces de afiliados automáticos que generan ingresos. Más.
