Nếu bạn sử dụng WhatsApp, bạn có thể ngạc nhiên khi biết rằng một nhóm nghiên cứu người Áo đã truy xuất thành công số điện thoại của 3,5 tỷ người dùng WhatsApp. Số của bạn cũng có thể nằm trong số đó. Dưới đây là mọi thứ bạn cần biết.
Bất Kỳ Ai Cũng Có Thể “Cạo” Hàng Tỷ Số Điện Thoại WhatsApp
Khi bạn muốn kiểm tra xem một số điện thoại có được đăng ký trên WhatsApp hay không, bạn chỉ cần tìm kiếm số đó trên nền tảng. Nếu số đó được liên kết với một tài khoản WhatsApp, bạn sẽ thấy ảnh hồ sơ và tên được thiết lập cho nó. Các nhà nghiên cứu bảo mật tại Đại học Vienna ở Áo đã sử dụng chính kỹ thuật đơn giản này để trích xuất số WhatsApp của 3,5 tỷ người dùng.
Trong khi tìm kiếm các lỗ hổng trong hệ thống mã hóa đầu cuối của WhatsApp, các nhà nghiên cứu Áo đã phát hiện ra rằng nền tảng này thiếu cơ chế bảo vệ giới hạn tốc độ (rate-limiting protection) để ngăn chặn việc lạm dụng tính năng kiểm tra số điện thoại đăng ký. Chỉ trong vòng nửa giờ, họ đã có thể trích xuất 30 triệu số WhatsApp đã đăng ký tại Mỹ bằng cách khai thác lỗ hổng này. Kết thúc nghiên cứu, họ đã thu thập số WhatsApp của 3,5 tỷ người dùng trên toàn thế giới.
Tất cả những gì họ làm là thay đổi chuỗi số điện thoại, và ngay lập tức! WhatsApp tiết lộ liệu số đó có được đăng ký trên nền tảng hay không. Khoảng 57% trong số 3,5 tỷ người dùng này đã cấu hình cài đặt quyền riêng tư để hiển thị ảnh hồ sơ cho mọi người. Kết quả là, các nhà nghiên cứu dễ dàng thu thập được cả ảnh hồ sơ của họ. Họ cũng có thể xem văn bản mô tả (profile text) của 29% người dùng này.
WhatsApp Đã “Ngồi Trên” Lỗ Hổng Này Kể Từ Năm 2017
Điều đáng ngạc nhiên là công ty mẹ của WhatsApp, Meta, đã được một nhóm nghiên cứu khác cảnh báo về lỗ hổng này từ năm 2017. Tuy nhiên, Meta đã không có bất kỳ hành động nào vào thời điểm đó, và việc kiểm tra một số điện thoại có được đăng ký trên WhatsApp hay không vẫn dễ dàng thực hiện.
Vào tháng 4 năm nay, các nhà nghiên cứu Áo đã gửi phát hiện của họ cho Meta về mức độ rủi ro bảo mật lớn mà lỗ hổng này gây ra. Kẻ xấu có thể dễ dàng sử dụng thủ thuật đơn giản này để trích xuất ảnh và số điện thoại của một lượng lớn người dùng WhatsApp. Khả năng họ đã khai thác lỗ hổng này để đánh cắp dữ liệu là bao nhiêu?
May mắn thay, vào tháng 10 năm nay, Meta cuối cùng đã thực thi biện pháp giới hạn tốc độ nghiêm ngặt hơn trên WhatsApp, điều này sẽ đảm bảo rằng việc khám phá danh bạ hàng loạt như trước đây không còn khả thi trên nền tảng này nữa. Các nhà nghiên cứu bảo mật cũng đã xóa an toàn cơ sở dữ liệu chứa tất cả số điện thoại đã trích xuất và dữ liệu liên quan.
Các đối thủ cạnh tranh của WhatsApp như Signal đã có sẵn cơ chế bảo vệ giới hạn tốc độ. Do đó, bạn sẽ không thể thực hiện việc khám phá danh bạ hàng loạt như cách WhatsApp đã từng cho phép.
Bạn nghĩ liệu việc Meta chậm trễ quá lâu (từ 2017 đến 2025) trong việc khắc phục lỗ hổng cơ bản này là do sự bất cẩn hay do việc ưu tiên tốc độ tăng trưởng người dùng hơn bảo mật?
- Texas kiện TikTok, cáo buộc nền tảng xử lý dữ liệu của trẻ em không đúng cách
- iOS 18 bổ sung tính năng bảo mật ứng dụng bằng Face ID và ẩn biểu tượng
- OnePlus 12 có thể dẫn đầu về camera nhờ cảm biến mới này của Sony
- Notion Mail chính thức có mặt trên iPhone, thách thức các ứng dụng email truyền thống
- DOJ hiện muốn Google bán Chrome nhưng vẫn giữ Android, với một hạn chế lớn
