Un studiu recent realizat de cercetători de la Universitatea din Viena și compania SBA Research evidențiază riscurile majore asociate cu vulnerabilitățile API-urilor expuse ale platformei WhatsApp. În special, echipa a demonstrat cum lipsa unor restricții adecvate în mecanismul de contact-discovery a permis generarea unei baze de date uriașe cu numere de telefon și informații conexe, cauzând îngrijorare privind securitatea datelor personale.

Vulnerabilitatea API-ului WhatsApp și modul de exploatare

Cercetătorii au folosit endpoint-ul GetDeviceList pentru a verifica dacă anumite numere de telefon sunt asociate unui cont WhatsApp și ce dispozitive sunt conectate. Lipsa limitărilor de solicitare a permis acceptarea a peste 100 de milioane de interogări pe oră, realizate de pe un singur server universitar. În total, au fost identificate peste 3,5 miliarde de conturi active, cu o distribuție globală amplă, incluzând țări cu utilizare intensă și zone în care aplicația era interzisă.

Datele colectate și riscurile asociate pe termen lung

Prin utilizarea altor endpoint-uri, cercetătorii au extras fotografii de profil, descrieri „about”, informații despre dispozitive și chei publice pentru criptarea end-to-end. Într-o verificare pe numere din SUA, au fost descărcate milioane de fotografii, multe cu fețe identificabile, și detalii personale. Rezultatele arată că aceste date pot fi valorificate ani de zile, alimentând campanii de phishing și inginerie socială.

Impact global și precedente

Acest incident confirmă vulnerabilitatea API-urilor fără restricții, similar cu alte breșe din domeniu, precum cele de la Facebook și Twitter. Dacă datele colectate ar fi fost publicate, ar fi reprezentat una dintre cele mai mari scurgeri de informații personale din istorie, cauzată de lipsa controalelor de securitate în API-uri.

În contextul actual, acest caz evidențiază necesitatea implementării unor controale stricte pentru API-uri, pentru a preveni exploatarea lor în scopuri malițioase. Menținerea informării și monitorizarea constantă a vulnerabilităților rămân esențiale în protejarea datelor personale.