Một lỗ hổng trong hệ thống API (giao diện lập trình ứng dụng) của WhatsApp đã dẫn đến việc 3.5 tỷ số điện thoại bị thu thập trái phép. Theo một báo cáo từ CyberGuy, các nhà nghiên cứu đã phát hiện ra lỗ hổng này, cho phép họ khai thác và thu thập dữ liệu một cách dễ dàng.
Lỗ hổng nằm ở API GetDeviceList, một công cụ được WhatsApp sử dụng để kiểm tra xem một số điện thoại có tài khoản và các thiết bị liên kết hay không. Vấn đề là API này không có giới hạn về số lượng yêu cầu, cho phép các nhà nghiên cứu gửi hàng loạt yêu cầu mà không bị chặn.
Các nhà nghiên cứu đã thử nghiệm bằng cách sử dụng chỉ năm phiên được xác thực và một máy chủ duy nhất từ trường đại học để gửi hàng loạt yêu cầu đến máy chủ của WhatsApp. Kết quả là, họ có thể kiểm tra hơn 100 triệu số điện thoại mỗi giờ. Từ đó, họ đã tạo ra một danh sách gồm 63 tỷ số điện thoại di động khả thi và xác nhận 3.5 tỷ tài khoản WhatsApp đang hoạt động.
Không chỉ dừng lại ở việc xác nhận sự tồn tại của tài khoản, các nhà nghiên cứu còn sử dụng các điểm cuối khác của WhatsApp để thu thập thêm thông tin, bao gồm ảnh hồ sơ, thông tin cá nhân trong phần “giới thiệu”, thông tin thiết bị và khóa công khai. Một cuộc thử nghiệm riêng biệt ở Hoa Kỳ đã tải xuống 77 triệu ảnh hồ sơ mà không gặp bất kỳ giới hạn nào.
Việc này cho thấy những lỗ hổng trong API có thể gây ra hậu quả nghiêm trọng, đặc biệt là khi thông tin cá nhân bị rò rỉ. Các số điện thoại bị đánh cắp có thể được sử dụng cho các mục đích xấu, chẳng hạn như lừa đảo và tấn công bằng tin nhắn rác. Các chuyên gia bảo mật khuyến nghị người dùng nên thực hiện các biện pháp để bảo vệ tài khoản WhatsApp của mình, bao gồm sử dụng xác thực hai yếu tố, sử dụng mật khẩu mạnh, hạn chế thông tin chia sẻ trong phần “giới thiệu” và điều chỉnh cài đặt quyền riêng tư.
Sự việc này một lần nữa nhấn mạnh tầm quan trọng của việc bảo mật API và các biện pháp bảo vệ quyền riêng tư của người dùng trên các nền tảng trực tuyến. Theo tin từ Fox News.
