واتساپ بهزودی استفاده از نام کاربری را جایگزین شماره موبایل بهعنوان شناسه اصلی کاربران میکند؛ تغییری که حالا مشخص شده دلایل امنیتی مهمی پشت آن قرار دارد.
کشف آسیبپذیری بزرگ در جستجوی شمارهها
طبق گزارش Wired، گروهی از پژوهشگران امنیتی اتریشی نشان دادهاند که میتوان با یک فرایند خودکار، تمام ترکیبهای ممکن شماره تلفن را وارد واتساپ کرد و اطلاعات مربوط به هر کاربر — از جمله نام و تصویر پروفایل — را استخراج کرد. این کار به پژوهشگران امکان داد ۳.۵ میلیارد شماره را از پایگاه داده واتساپ به دست آورند.
به گفته Wired:
-
برای ۵۷٪ از کاربران، تصویر پروفایل قابل مشاهده بود.
-
برای ۲۹٪ نیز متن بیو یا About قابل دسترسی بود.
-
واتساپ سرعت درخواستها را محدود نکرده بود و پژوهشگران قادر بودند تا ۱۰۰ میلیون شماره در ساعت بررسی کنند.
این موضوع عملاً امکان ساخت یک پایگاه اطلاعاتی گسترده از نامها و شمارههای کاربران واتساپ را فراهم میکرد؛ دادههایی که میتوانند در فعالیتهای سودجویانه مانند کلاهبرداری مورد استفاده قرار گیرند.
واکنش متا و تغییرات جدید
پژوهشگران یافتههای خود را با شرکت مادر واتساپ یعنی متا در میان گذاشتند و این شرکت بلافاصله محدودیتهای سرعت را برای جلوگیری از استخراج انبوه دادهها افزایش داد. اما حتی با این محدودیتها، مشکل همچنان از نظر امنیتی مطرح است و همین موضوع دلیل اصلی حرکت واتساپ به سمت استفاده از نام کاربری بهجای شماره تلفن محسوب میشود.
میزان ریسک واقعی چقدر است؟
واتساپ تأکید کرده است که:
-
اطلاعات قابل استخراج محدود هستند و تنها شامل دادههای عمومی پروفایل میشوند.
-
کاربران میتوانند پروفایل خود را خصوصی کنند تا قابل مشاهده نباشد.
-
هیچ مدرکی مبنی بر سوءاستفاده گسترده از این نقص یافت نشده است.
-
پیامها همچنان با رمزنگاری سرتاسری محافظت میشوند.
بنابراین با وجود اینکه این آسیبپذیری در سطح گستردهای به افشای محتوای خصوصی منجر نمیشود، اما همچنان میتواند ابزار ارزشمندی برای افراد سودجو جهت ساخت بانکهای اطلاعاتی هدفمند باشد.
آینده واتساپ: تمرکز بر نام کاربری
با توجه به این یافتهها، واتساپ احتمالاً فشار بیشتری برای استفاده از Usernames وارد خواهد کرد تا وابستگی به شماره موبایل را کاهش دهد و ریسک افشای داده را به حداقل برساند.
در مجموع، این یک تهدید محدود اما واقعی است — و ارائه نام کاربری اقدامی منطقی از سوی متا برای جلوگیری از سوءاستفادههای احتمالی به شمار میرود.
source