బిగ్ షాక్.. రిస్క్‌లో 350 కోట్ల వాట్సాప్ యూజర్ల డేటా

ప్రపంచవ్యాప్తంగా అత్యధికంగా ఉపయోగించే మెసేజింగ్ ప్లాట్‌ఫారమ్ వాట్సాప్‌లో భారీ భద్రతా లోపం వెలుగులోకి వచ్చింది. ఈ లోపం కారణంగా ఏకంగా 350 కోట్ల మంది వినియోగదారుల ఫోన్ నంబర్లు, ఇతర ప్రొఫైల్ వివరాలు బహిర్గతమయ్యే ప్రమాదం ఏర్పడింది. ఈ విషయాన్ని యూనివర్సిటీ ఆఫ్ వియన్నా పరిశోధకులు కనుగొన్నారు. కేవలం కాంటాక్ట్ చెకింగ్ అనే ఒక సాధారణ పద్ధతిని ఉపయోగించి, ప్రపంచ స్థాయిలోనే యూజర్ల డేటాను సేకరించగలిగారని రిపోర్టులు పేర్కొంటున్నాయి.

యూనివర్సిటీ ఆఫ్ వియన్నా బృందం నిర్వహించిన అధ్యయనం ప్రకారం, వాట్సాప్‌లోని కాంటాక్ట్ డిస్కవరీ ఆప్షన్, పరిమితిలేని ఫోన్ నంబర్ల తనిఖీలను అనుమతిస్తుంది. దీని ద్వారా మునుపెన్నడూ లేని స్థాయిలో యూజర్ల డేటాను సేకరించడం సాధ్యమైంది. 

ఈ టీమ్ కేవలం 30 నిమిషాల్లోనే 30 మిలియన్ (3 కోట్ల) యూఎస్ నంబర్లను, ఆ తర్వాత ప్రపంచవ్యాప్తంగా బిలియన్ల కొద్దీ నంబర్లను సంపాదించగలిగిందని 'వైర్డ్' పత్రిక నివేదించింది. ఇంత ప్రమాదకరమైన లోపం గురించి మెటా (వాట్సాప్ మాతృ సంస్థ)కు 2017లోనే తెలియజేసినప్పటికీ, కంపెనీ సమస్యను పరిష్కరించడానికి సంవత్సరాలు పట్టిందని విమర్శకులు ఎత్తిచూపుతున్నారు.

ఈ లోపానికి మూలం వాట్సాప్‌లోని సాధారణ కాంటాక్ట్ డిస్కవరీ మెకానిజం అనే ఫీచర్. యూజర్ తమ ఫోన్‌లో కొత్త నంబర్‌ను సేవ్ చేసినప్పుడు, ఆ వ్యక్తి వాట్సాప్‌లో ఉన్నారో లేదో త్వరగా తెలుసుకోవడానికి ఈ ఫీచర్ ఉపయోగపడుతుంది. వాట్సాప్ బ్యాక్‌గ్రౌండ్‌లో యూజర్ ఫోన్‌బుక్‌ను సర్వర్‌తో సింక్రనైజ్ చేయడం ద్వారా ఇది జరుగుతుంది.

వియన్నా పరిశోధకులు ఇదే మెకానిజంను ఉపయోగించి భారీ స్థాయిలో యూజర్ల వివరాలను సేకరించగలిగారు. నంబర్ల బిలియన్ల కొద్దీ కాంబినేషన్లపై ఆటోమేటిక్ వెరిఫికేషన్ చేయడం ద్వారా, వారు యూజర్లను మ్యాప్ చేసి, వారి ప్రొఫైల్ ఫోటోలు, అబౌట్ డిస్క్రిప్షన్లను ఏ భద్రతా అడ్డంకులు లేకుండా పొందగలిగారు. తనిఖీల సంఖ్యపై పరిమితులు (రేట్ కంట్రోల్స్) అమలు చేయకపోవడమే ఈ దాడి చవకగా, వేగంగా పెద్ద స్థాయిలో జరగడానికి కారణమైందని రిపోర్టులు పేర్కొన్నాయి.

పరిశోధకులు గంటకు 100 మిలియన్ల (10 కోట్ల) కంటే ఎక్కువ ఫోన్ నంబర్లను సర్వర్ నుండి నిరంతరంగా క్వెరీలు పొందారు. ఫలితంగా, ప్రపంచవ్యాప్తంగా 3.5 బిలియన్ల యాక్టివ్ ఖాతాలను గుర్తించగలిగారు. ఈ దాడి ద్వారా ఫోన్ నంబర్లు, ఎండ్-టు-ఎండ్ ఎన్‌క్రిప్షన్‌కు అవసరమైన పబ్లిక్ కీలు, టైమ్‌స్టాంప్‌లు, అందరికీ కనబడేలా సెట్ చేసి ఉంటే ప్రొఫైల్ ఫోటోలు, అబౌట్ టెక్స్ట్ వంటి డేటాను సేకరించారు.

ప్రపంచవ్యాప్తంగా 56.7 శాతం మంది యూజర్ల ప్రొఫైల్ చిత్రాలు, 29.3 శాతం మంది అబౌట్ టెక్స్ట్‌లు బహిర్గతమయ్యాయి. ఈ టెక్స్ట్‌లలో రాజకీయ అభిప్రాయాలు, మతం, ఇతర సోషల్ మీడియా లింక్‌లు కూడా ఉన్నాయి.

భారతదేశంలో అత్యధికంగా 749 మిలియన్ల (74.9 కోట్లు - 21.67%) వాట్సాప్ యూజర్లు ఈ రిస్క్‌లో ఉన్నారు. దీని తర్వాత ఇండోనేషియా (235 మిలియన్లు), బ్రెజిల్ (207 మిలియన్లు), అమెరికా (138 మిలియన్లు), రష్యా (133 మిలియన్లు) ఉన్నాయి. చైనా, ఇరాన్, మయన్మార్ వంటి వాట్సాప్ నిషేధిత దేశాలలో కూడా మిలియన్ల కొద్దీ యాక్టివ్ ఖాతాలను పరిశోధకులు గుర్తించారు. 

2021 ఫేస్‌బుక్ డేటా లీక్‌లో ఉన్న ఫోన్ నంబర్లలో దాదాపు సగం ఇప్పటికీ వాట్సాప్‌లో యాక్టివ్‌గా ఉన్నాయని వారు కనుగొన్నారు. ఈ డేటా సైబర్ నేరగాళ్లకు, స్పామర్‌లకు, మోసగాళ్లకు ఒక పెద్ద అవకాశంగా మారుతుందని నిపుణులు హెచ్చరించారు.

పరిశోధకులు తమ పరిశోధనల ఫలితాలను మెటాకు నివేదించిన తర్వాత, కంపెనీ ఈ లోపాన్ని సరిచేసింది. వాట్సాప్ ఇంజనీరింగ్ వైస్ ప్రెసిడెంట్ నితిన్ గుప్తా స్పందిస్తూ, 'ఈ అధ్యయనం మా కొత్త యాంటీ-స్క్రాపింగ్ రక్షణలను పరీక్షించడంలో, వాటి సామర్థ్యాన్ని ధృవీకరించడంలో దోహదపడింది. డేటా చోరీ కోసం ఈ లోపాన్ని ఉపయోగించుకున్నట్లు ఇప్పటివరకు ఎలాంటి ఆధారాలు కనుగొనలేదు. వాట్సాప్ డిఫాల్ట్ ఎండ్-టు-ఎండ్ ఎన్‌క్రిప్షన్ కారణంగా యూజర్ల సందేశాలు ప్రైవేట్‌గా, సురక్షితంగా ఉన్నాయని గమనించాలి' అని తెలిపారు.

ప్రస్తుతం, వాట్సాప్ ఒక ఫోన్ నంబర్ ప్లాట్‌ఫారమ్‌లో రిజిస్టర్ అయి ఉందో లేదో తనిఖీ చేయడానికి చేసే ప్రశ్నల సంఖ్యపై రేట్ లిమిట్స్ ను ప్రవేశపెట్టింది. పరిశోధకులు సేకరించిన డేటాబేస్‌ను సురక్షితంగా నాశనం చేశారని కూడా కంపెనీ స్పష్టం చేసింది. సైబర్ సెక్యూరిటీ నిపుణులు యూజర్లు తమ ప్రొఫైల్స్, అబౌట్ వివరాలు, స్టేటస్‌లను ప్రైవేట్ గా సెట్ చేసుకోవాలని, వ్యక్తిగత వివరాలను అబౌట్ విభాగంలో ఉంచకుండా పరిమితం చేసుకోవాలని సూచిస్తున్నారు.