Torek, 13. 4. 2021, 18.28
3 leta, 6 mesecev
Ukradene številke Slovencev: poglejte, kako vas lahko sabotirajo
Prejšnji teden smo poročali o obstoju besedilne datoteke Slovenia.txt, ki je del večje kraje osebnih podatkov z družbenega omrežja Facebook in ki med drugim vsebuje okrog 110 tisoč telefonskih številk slovenskih uporabnikov. Strokovnjaki za informacijsko varnost so opozorili, da gre za hud incident, ki lahko med drugim omogoči ciljane napade oziroma nadlegovanje točno določenih oseb. Zdaj je bila v najbolj priljubljeni pogovorni aplikaciji odkrita ranljivost, ki omogoča prav to.
WhatsApp, ki je daleč najbolj razširjena aplikacija za sporočanje, ima varnostno luknjo, ki tretjim osebam omogoča suspenz in zaklep kateregakoli uporabniškega računa, če le poznajo telefonsko številko, ki je povezana z njim.
WhatsAppu, ki ima okrog dve milijardi članov, se je po januarski spremembi pogojev uporabe, ob kateri so se porodila vprašanje o nadaljnji zasebnosti oziroma varnosti komunikacij, zgodil manjši eksodus uporabnikov. Več milijonov se jih je namreč preselilo h konkurenčni aplikaciji Signal, ki je znana po zanesljivem šifriranju sporočil. Kljub temu WhatsApp še vedno ostaja z naskokom najbolj uporabljana aplikacija za klepetanje.
Kako vas lahko sabotirajo
Storilec, ki želi nekomu iz tega ali onega razloga dezaktivirati uporabniški račun in pozna njegovo telefonsko številko, mora na pametnem telefonu, ki ga uporablja za napade oziroma nadlegovanje, zgolj namestiti aplikacijo WhatsApp in se z ukradeno telefonsko številko poskusiti prijaviti v žrtvin uporabniški račun.
To mu seveda ne bo uspelo, saj bo WhatsApp poziv, da žrtev napada ob novi prijavi potrdi svojo identiteto, poslal na pametni telefon lastnika telefonske številke. Toda če napadalec postopek poskusa prijave ponovi večkrat, bo WhatsApp žrtvin uporabniški račun onemogočil za dvanajst ur.
Na opisani način lahko napadejo tudi Marka Zuckerbega, direktorja Facebooka in posredno tudi prvega moža WhatsAppa. Njegova telefonska številka je bila namreč med milijoni, ki so bile razgaljene v hekerskem napadu na Facebook.
Ko je uporabniški račun zaklenjen, napadalec na WhatsAppovo podporo uporabnikom pošlje e-poštno sporočilo, da je bil njegov (v resnici žrtvin) pametni telefon izgubljen ali ukraden in da naj blokirajo uporabniški račun, ki je povezan z njegovo (žrtvino) telefonsko številko.
Če bo napadalec s prijavami izgube oziroma kraje telefona dovolj vztrajen, bo WhatsApp brez kakršnegakoli obvestila dezaktiviral žrtvin uporabniški račun. Pri tem gre za neke vrste polovičarski zaklep računa, kar pomeni, da ga prizadeti uporabnik lahko dobi nazaj, a mora WhatsAppu poslati dokazila, da je on resnični lastnik računa. Za žrtev takega napada oziroma nadlegovanja posledice torej niso katastrofalne, so pa zamudne in nadležne.
Datoteka Slovenia.txt vsebuje informacije o nekaj več kot 230 tisoč uporabnikih, a je Slovencev le polovica, drugi pa so državljani Kosova, ki so uporabljali telekomunikacijske storitve ponudnika Ipko, ki je v lasti Telekoma Slovenije.
Dobra in slaba novica
Dobra novica je, da opisana metoda nadlegovanja v nobenem primeru ne omogoči dostopa do vsebine sporočil v žrtvinem uporabniškem računi WhatsApp.
Toda strokovnjaka za informacijsko varnost Luis Márquez Carpintero in Ernesto Canales Pereña, ki sta odkrila to ranljivost, opozarjata, da trenutno sploh ne obstaja način, ki bi uporabnika zaščitil pred takšnim napadom. Za zdaj še ni jasno, ali bo WhatsApp, katerega lastnik je sicer Facebook, opisano napako odpravil.
Pa se je sploh mogoče zaščititi? Uradno priporočilo WhatsAppa za vse primere zlorab je, naj uporabniki vklopijo dvostopenjsko identifikacijo z e-poštnim naslovom. Ta je ob prvi namestitvi aplikacije sicer onemogočena.
Strokovnjaki za informacijsko varnost od prejšnjega tedna, ko so postale znane razsežnosti velikega hekerskega napada na Facebooku, ki je povzročil javno objavo osebnih podatkov pol milijarde ljudi, opozarjajo na morebitne posledice za oškodovane uporabnike. Ti bodo zaradi razkritja telefonskih številk lahko tarča nadležnih oglaševalskih kampanj, goljufij in ciljanih napadov.
Preberite tudi:
6