„Дојче веле“ ексклузивно: безбедносна рупа у „Вотсап“ групама

Ексклузивно истраживање „Дојче велеа“ показује да се хиљаде линкова ка приватним групама на Вотсапу лако могу наћи на интернету. Чак и без придруживања групи долази се до бројева телефона чланова група и њихових имена.

Дојче веле је прошле недеље открио да Вотсап линкови који воде до затворених група могу лако да се пронађу – једноставном претрагом на Гуглу. То је велики безбедносни пропуст. Уследиле су жестоке негативне реакције на друштвеним мрежама, па је Вотсап те линкове уклонио из Гуглових резултата претраживања. 

Али упркос томе, јавно доступне интернет архиве и даље чувају те податке, открио је истраживач безбедности Лав Кумар. Он је скупио и организовао преко 60.000 линкова, који се још могу наћи на више сајтова.

Од 1.000 насумично изабраних линкова које је тестирао Дојче веле, 427 су били активни линкови за чет. Чак и без активног придруживања групи, њен назив, опис, слика и телефонски број аутора доступни су за све. А када се уђе у групу, могуће је видети и бројеве телефона – до 256 учесника – као и остале информације. Након тога, додавањем тих бројева у контакте могу се открити и имена у апликацији.

Реагујући на упит Дојче велеа, Вотсап је саопштио: „Показујемо све телефонске бројеве у групама ради безбедности људи, тако да знају ко ће примати њихове поруке“.

Опасност у стварном животу

Користећи ту безбедносну рупу, Дојче веле је тако рецимо добио приступ групи коју у Индонезији описују као „Министарство финансија државних службеника“, укључујући и телефонске бројеве свих 14 чланова. За неколико других група испоставило се да су званичне групе за подршку кампањи бразилског председника Жаира Болсонара.

Међу 427 активних испитиваних линкова, било је група за школске разреде, медицинске приправнике, политичке кампање, разне послове, порнографске и сексуалне раднике. Неке групе су укључивале чланове посебно осетљивог идентитета, попут једног чета са стотинама чланова који су у латиноамеричкој земљи са високим степеном хомофобних убистава, јасно означени као ЛГБТК+ група.

У неким случајевима, слика групе је изгледала попут аматерске порнографије или је имала наслове као што су „тајни видео-снимци бивших жена“. На списку су биле и потенцијалне терористичке групе и оне где се деле снимци „екстремног" сексуалног садржаја, укључујући силовање. Мали број линкова указивао је на педофилни садржај.

Вотсап је за Дојче веле саопштио да компанија има политику нулте толеранције у вези са сексуалним злостављањем деце и да одмах избацује кориснике ако се испостави да деле садржај који злоупотребљава или угрожава децу. Платформа такође тврди да сваког месеца гаси око 250.000 профила за које се сумња да деле забрањене слике деце и да се притом ослања на дојаве корисника и све некодиране податке.

Реагујући на ово, неки корисници Твитера рекли су да би ту рупу у безбедности власти могле да користе за проналажење и праћење илегалног садржаја. „Наравно да постоји та могућност“, рекао је за Дојче веле Џејк Мор, специјалиста за кибернетичку сигурност, „али терористи ретко користе Вотсап за комуникацију“.

Међутим, истраге крајње десног тероризма у Немачкој показују да су те организације користиле Вотсап за упознавање чланова.

Стари проблем

Тај пропуст у безбедности познат је још од 2016. Тада је „Вотсап“ реаговао и решио проблем. Крајем 2019. проблем је поново пријављен, али је у одговору за Дојче веле наведено да се то не сматра „високим приоритетом“.

Иако се овде технички не ради класичном цурењу података, то је ипак лоше – јер су корисници уверени да позивајући линком некога у групу њихова приватност остаје заштићена. Стручњаци су за Дојче веле рекли да би „Вотсап“ могао те линкове да учини невидљивим за јавност – али је одлучио да то не учини.

Портпарол „Вотсапа“ је за Дојче веле изјавио да су „администратори групе у стању да позову било ког корисника апликације да се придружи тој групи дељењем линка коју су они генерисали. Као и сав садржај који се дели јавним каналима који се могу претраживати, те линкове могу да пронађу други корисници Вотсап апликације. Ако корисници желе да линкове деле приватно са особама које знају и којима верују, не смеју их објављивати на јавно доступној веб-локацији“.

Представник компаније такође је нагласио да апликација „јасно преноси упозорење људима који деле линк за позив у групу“, а „администратори групе могу опозвати линк у било ком тренутку". Међутим, стручњаци за Дојче веле кажу да се опозивом само генерише нови линк – а да се не искључује у потпуности.

Вотсап је апликација за размену порука, фотографија и видео-записа путем интернета на паметним телефонима. Сматра се да је појава тог месинџера довела до готово потпуног нестанка класичних телефонских СМС-порука.

Компанију су 2009. у Калифорнији основали Брајан Екшн и Јан Кум. После само пет година, у фебруару 2014. – када је за 19 милијарди долара продата Фејсбуку – та апликација је имала више од 450 милиона активних корисника. У фебруара 2020. Вотсап је наводно имао чак две милијарде корисника.

број коментара 0 Пошаљи коментар