奧地利研究人員近日揭露 WhatsApp 存在重大設計漏洞,使他們得以收集超過 35 億筆用戶個人資料,包含電話號碼、姓名與部分頭像。他們形容這起事件可能是「史上最大規模的資料外洩」。
WhatsApp 長期允許用戶透過輸入電話號碼查詢帳號資料,但研究人員利用 Google libphonenumber 技術自動生成 630 億筆號碼進行比對,以每秒 7,000 次查詢、每小時超過 1 億帳號的速度掃描,卻未遭封鎖,也未遇到有效速率限制。他們最終確認 35 億筆有效帳號,其中 57% 有公開頭像,且三分之二包含可辨識人臉。
研究警告,這些圖片、頭像文字與公開資訊可被用來進一步推測用戶身分、職業、政治立場、性取向等資訊。部分電話還連結到政府與軍方官員,風險更高。
研究亦指出,即使在中國、緬甸、北韓等封鎖 WhatsApp 的國家,仍有數百萬帳號與當地電話綁定,顯示使用者可能面臨高風險後果。而已註冊電話號碼清單可被濫用於垃圾簡訊、釣魚攻擊與自動撥號詐騙。
研究團隊檢視 2021 年 Facebook 大規模資料外洩事件,並發現 WhatsApp 取得的 35 億筆資料中,仍有約一半電話號碼有效,凸顯漏洞帶來的長期風險。
Meta 在回應中未說明過去是否已採取保護措施,但表示正在強化反爬蟲系統,並感謝研究團隊負責任揭露。WhatsApp 工程副總裁 Nitin Gupta 強調,用戶訊息仍受到端到端加密保護,研究人員無法存取非公開內容,並確認研究中資料已被安全刪除。
研究人員指出,目前 WhatsApp 已阻擋原本的資料抓取方式,呼籲外界持續關注平台資安。
(首圖來源:pixabay)
科技新報粉絲團
加入好友
訂閱免費電子報
