Zdá sa, že od kedy ten, koho meno sa nevyslovuje premenoval Facebook na Meta jediným smerom, ktorým sa firma uberá je dole, do hlbokých hlbín. Na jednej strane by sme si z z nešťastia druhých nemali robiť srandu, na druhej sa aspoň ja osobne neviem zbaviť pocitu úľavy z toho, že minimálne v blízkej budúcnosti sa svet ešte stále nepresúva do “Metaversu”.
Najnovším “prepalom” je príspevok na fóre BreachForums, kde hacker s neznámou identitou predáva až 273 miliónov Whatsappových mien a telefónnych čísiel z celého sveta (niektoré zdroje uvádzajú, že ide až o 500 milónov). Toto masívne číslo zodpovedá cca 5% všetkých ľudí, ktorí telefón vlastnia.
Na vine je Meta
Ako myslíte že tieto čísla získal? Ide o rafinovaný hack, v ktorom útočník našiel chybu v systéme, v tichosti sa napojil na server z kade stiahol dáta? Ide o prefíkaný social engeneering? Ani náhodou. Whatsapp tieto čísla ponúkal každému verejne, vďaka svojej službe Click to Chat.
V skratke, Click to Chat je služba umožňujúca začatie konverzácie s niekym bez toho, aby ste danú osobu mali uloženú v kontaktoch. Whatsapp vám jednoducho vygeneruje link, ktorý môžete zdieľat s priateľmi a po kliknutí naň začať konverzáciu.
Príklad takého odkazu môže byť: https://wa.me/421901123456
Ešte zaujímavejšie je, že Whatsapp pravdepodobne aj tušil, že niečo také sa môže stať ale jednoducho sa to rozhodol neriešiť (napríklad zašifrovaním čísiel v linku). Vo svojich Pravidlách bezpečnosti priznáva možnosť zberu osobných dát a uvádza:
“Niektoré účty môžu byť dočasne alebo trvalo zablokované v prípade podozrenia zo zberu osobných dát…”
Starý dobrý Google Dorking
Ako uvádza bezpečnostný výskumník, ktorý túto “chybičku” pred pár dňami objavil, zber mien a telefónnych čísiel je možný použitím Googlu. Presnejšie, Google Dorkingu. Ide o “vyhľadávanie na steroidoch”, kedy môžete svoj dopyt užšie špecifikovať.
S Google Dorkingom viete napríklad zobraziť iba výsledky z konrétnej stránky obsahujúce konkrétny úrivok textu s linku, nadpisoch, alebo texte.
Presne tento trik náš útočník aj využil. Stačilo mu podobným spôsobom preiterovať zoznam kódov všetkých krajín a vuala, už vás majú.
Dobrou správou je, že keď tieto vyhľadávania uskutočníte teraz, nenájdete nič okrem firemných čísel, ktoré sú na internete zverejnené naschval.
Nie je to až tak zlé, ale na druhej strane ani tak dobré
Čísla síce znejú strašidelne, nie je to však koniec sveta. Stále nejde o heslá, malware, ransomware alebo iný bolehlav, ktorý by vás mohol reálne stať peniaze.
Ak sa vaše meno a číslo nachádza v uniknutom datasete ste hotovým terčom social engeneering kampaní. Na to si musíte dať pozor. Ako som už písal v minulých článok, hackeri dokážu byť veľmi kreatívni a do karát im náramne nahrá keď vám zavolajú a z fleku poznajú aj vaše celé meno.
Buďte obozretní a neposlúchajte rozkazy náhodných ľudí.
Páčil sa vám článok, máte k téme čo dodať? Dajte mi vedieť v komentári!