Matic Tomšič

Torek,
13. 4. 2021,
18.28

Osveženo pred

3 leta, 7 mesecev

Termometer prikazuje, kako vroč je članek.

Termometer prikaže, kako vroč je članek.

Thermometer Blue Green 3,49

6

Natisni članek

Natisni članek

hekerski napad Facebook WhatsApp

Torek, 13. 4. 2021, 18.28

3 leta, 7 mesecev

Ukradene številke Slovencev: poglejte, kako vas lahko sabotirajo

Matic Tomšič

Termometer prikazuje, kako vroč je članek.

Termometer prikaže, kako vroč je članek.

Thermometer Blue Green 3,49

6

 

Prejšnji teden smo poročali o obstoju besedilne datoteke Slovenia.txt, ki je del večje kraje osebnih podatkov z družbenega omrežja Facebook in ki med drugim vsebuje okrog 110 tisoč telefonskih številk slovenskih uporabnikov. Strokovnjaki za informacijsko varnost so opozorili, da gre za hud incident, ki lahko med drugim omogoči ciljane napade oziroma nadlegovanje točno določenih oseb. Zdaj je bila v najbolj priljubljeni pogovorni aplikaciji odkrita ranljivost, ki omogoča prav to. 

Kapuca, skrivnost, heker
Novice ZDA trese nov incident: "Na lestvici od 1 do 10 je ta dogodek 11"

WhatsApp, ki je daleč najbolj razširjena aplikacija za sporočanje, ima varnostno luknjo, ki tretjim osebam omogoča suspenz in zaklep kateregakoli uporabniškega računa, če le poznajo telefonsko številko, ki je povezana z njim. 

WhatsAppu, ki ima okrog dve milijardi članov, se je po januarski spremembi pogojev uporabe, ob kateri so se porodila vprašanje o nadaljnji zasebnosti oziroma varnosti komunikacij, zgodil manjši eksodus uporabnikov. Več milijonov se jih je namreč preselilo h konkurenčni aplikaciji Signal, ki je znana po zanesljivem šifriranju sporočil. Kljub temu WhatsApp še vedno ostaja z naskokom najbolj uporabljana aplikacija za klepetanje. | Foto: Reuters WhatsAppu, ki ima okrog dve milijardi članov, se je po januarski spremembi pogojev uporabe, ob kateri so se porodila vprašanje o nadaljnji zasebnosti oziroma varnosti komunikacij, zgodil manjši eksodus uporabnikov. Več milijonov se jih je namreč preselilo h konkurenčni aplikaciji Signal, ki je znana po zanesljivem šifriranju sporočil. Kljub temu WhatsApp še vedno ostaja z naskokom najbolj uporabljana aplikacija za klepetanje. Foto: Reuters

Kako vas lahko sabotirajo

Storilec, ki želi nekomu iz tega ali onega razloga dezaktivirati uporabniški račun in pozna njegovo telefonsko številko, mora na pametnem telefonu, ki ga uporablja za napade oziroma nadlegovanje, zgolj namestiti aplikacijo WhatsApp in se z ukradeno telefonsko številko poskusiti prijaviti v žrtvin uporabniški račun.

To mu seveda ne bo uspelo, saj bo WhatsApp poziv, da žrtev napada ob novi prijavi potrdi svojo identiteto, poslal na pametni telefon lastnika telefonske številke. Toda če napadalec postopek poskusa prijave ponovi večkrat, bo WhatsApp žrtvin uporabniški račun onemogočil za dvanajst ur. 

Kako oziroma kje lahko preverite, ali ste med 110 tisoč slovenskimi uporabniki Facebooka z ukradeno telefonsko številko

Na opisani način lahko napadejo tudi Marka Zuckerbega, direktorja Facebooka in posredno tudi prvega moža WhatsAppa. Njegova telefonska številka je bila namreč med milijoni, ki so bile razgaljene v hekerskem napadu na Facebook. | Foto: Reuters Na opisani način lahko napadejo tudi Marka Zuckerbega, direktorja Facebooka in posredno tudi prvega moža WhatsAppa. Njegova telefonska številka je bila namreč med milijoni, ki so bile razgaljene v hekerskem napadu na Facebook. Foto: Reuters

Ko je uporabniški račun zaklenjen, napadalec na WhatsAppovo podporo uporabnikom pošlje e-poštno sporočilo, da je bil njegov (v resnici žrtvin) pametni telefon izgubljen ali ukraden in da naj blokirajo uporabniški račun, ki je povezan z njegovo (žrtvino) telefonsko številko.

Če bo napadalec s prijavami izgube oziroma kraje telefona dovolj vztrajen, bo WhatsApp brez kakršnegakoli obvestila dezaktiviral žrtvin uporabniški račun. Pri tem gre za neke vrste polovičarski zaklep računa, kar pomeni, da ga prizadeti uporabnik lahko dobi nazaj, a mora WhatsAppu poslati dokazila, da je on resnični lastnik računa. Za žrtev takega napada oziroma nadlegovanja posledice torej niso katastrofalne, so pa zamudne in nadležne.

Datoteka Slovenia.txt vsebuje informacije o nekaj več kot 230 tisoč uporabnikih, a je Slovencev le polovica, drugi pa so državljani Kosova, ki so uporabljali telekomunikacijske storitve ponudnika Ipko, ki je v lasti Telekoma Slovenije. | Foto: Matic Tomšič / Posnetek zaslona Datoteka Slovenia.txt vsebuje informacije o nekaj več kot 230 tisoč uporabnikih, a je Slovencev le polovica, drugi pa so državljani Kosova, ki so uporabljali telekomunikacijske storitve ponudnika Ipko, ki je v lasti Telekoma Slovenije. Foto: Matic Tomšič / Posnetek zaslona

Dobra in slaba novica

Dobra novica je, da opisana metoda nadlegovanja v nobenem primeru ne omogoči dostopa do vsebine sporočil v žrtvinem uporabniškem računi WhatsApp.

Toda strokovnjaka za informacijsko varnost Luis Márquez Carpintero in Ernesto Canales Pereña, ki sta odkrila to ranljivost, opozarjata, da trenutno sploh ne obstaja način, ki bi uporabnika zaščitil pred takšnim napadom. Za zdaj še ni jasno, ali bo WhatsApp, katerega lastnik je sicer Facebook, opisano napako odpravil. 

Pa se je sploh mogoče zaščititi? Uradno priporočilo WhatsAppa za vse primere zlorab je, naj uporabniki vklopijo dvostopenjsko identifikacijo z e-poštnim naslovom. Ta je ob prvi namestitvi aplikacije sicer onemogočena. 

Telefonske številke | Foto: Matic Tomšič Foto: Matic Tomšič
Strokovnjaki za informacijsko varnost od prejšnjega tedna, ko so postale znane razsežnosti velikega hekerskega napada na Facebooku, ki je povzročil javno objavo osebnih podatkov pol milijarde ljudi, opozarjajo na morebitne posledice za oškodovane uporabnike. Ti bodo zaradi razkritja telefonskih številk lahko tarča nadležnih oglaševalskih kampanj, goljufij in ciljanih napadov. 

Preberite tudi:

Mark Zuckerberg
Novice Pozabite WhatsApp, tudi Mark Zuckerberg očitno uporablja Signal
Telefonske številke
Novice Tu je ukradenih 110 tisoč slovenskih telefonskih številk: tudi vaša?
Slovenia.txt
Novice Slovenia.txt: skrb vzbujajoč seznam, na katerem je ogromno Slovencev
Facebook
Novice Kaj vse je pripravljen narediti Facebook, da ne bi medijem plačeval za njihove vsebine
Facebooka stara nova prevara
Novice Slovenci panično delijo bizarno laž, nasedla tudi znana novinarka