Les chercheurs ont déclaré que la vulnérabilité en question peut être utilisée de manière « simple » qui peut attirer des millions de numéros en seulement une demi-heure.
Les experts en sécurité qui ont révélé le problème ont souligné que si des personnes malveillantes utilisaient la même méthode, cela pourrait constituer la « plus grande fuite de données de l’histoire ».
La critique la plus frappante est que, bien que cette vulnérabilité ait été signalée pour la première fois à Meta en 2017, l’entreprise n’a pas pris les mesures de sécurité nécessaires depuis huit ans.
COMMENT EST-CE ARRIVÉ?
Le système de communication de base de WhatsApp permet de savoir instantanément si l’utilisateur est sur la plateforme ou non en ajoutant le numéro de téléphone d’une personne à la liste de contacts.
Ce processus peut également afficher des détails tels que la photo de profil et les informations sur le nom. Grâce à la répétabilité illimitée de ce processus, les chercheurs ont réussi à scanner et à extraire systématiquement les numéros de presque tous les utilisateurs de WhatsApp.
Des chercheurs de l’Université de Vienne ont déclaré qu’ils avaient atteint les 30 premiers millions de numéros de téléphone américains en une demi-heure. «D’après ce que nous savons, il s’agit de la plus grande divulgation jamais réalisée de numéros de téléphone et de données utilisateur associées», a déclaré Aljosha Judmayer, l’un des chercheurs qui ont mené l’étude.
Après avoir transmis la base de données à Meta, les chercheurs l’ont supprimée en toute sécurité. Meta a annoncé qu’il n’y avait aucune trace d’utilisation malveillante dans le système.
META : CONTENU PRIVÉ NON ACCÉDÉ
Meta a fait valoir qu’elle travaillait depuis longtemps sur des systèmes anti-grattage et que ces recherches permettaient de tester de nouvelles défenses. La société a déclaré que les messages des utilisateurs sont protégés par un cryptage de bout en bout et que le contenu privé n’est pas accessible.
La déclaration de Meta comprenait les déclarations suivantes :
«Ce travail a joué un rôle important dans le test de nos systèmes de sécurité. Les données collectées par les chercheurs ont été supprimées en toute sécurité et il n’y a aucune preuve d’une attaque malveillante utilisant cette méthode.»
La société a indiqué qu’à la suite de l’incident, elle avait imposé des restrictions de transaction sur le système et que l’analyse de masse avait été empêchée.
