Uma falha de segurança no WhatsApp expôs o número de telefone de praticamente todos os utilizadores da plataforma - e o mais caricato é que se trata de uma falha que já tinha sido reportada em 2017. Investigadores de segurança conseguiram explorar aquilo que descrevem como um método simples, que lhes permitiu recolher 3.5 mil milhões de números directamente do serviço de mensagens. Caso a mesma táctica tivesse sido usado por atacantes, o resultado teria sido "a maior fuga de dados da história".
A vulnerabilidade está ligada ao modo como o WhatsApp facilita a descoberta de novos contactos: basta introduzir um número de telefone para saber imediatamente se a pessoa usa o serviço, muitas vezes acompanhado da foto de perfil e nome. Foi precisamente isso que os investigadores fizeram, repetindo o processo milhares de milhões de vezes, para recolher os números de telefone e, nalguns casos, fotografias e outros detalhes pessoais. Há oito anos, um investigador já tinha avisado a Meta de que a plataforma não impunha qualquer limite ao número de verificações que alguém podia fazer, permitindo que este ataque pudesse ser feito a qualquer escala sem restrições. Mesmo assim, nada foi feito para evitar este risco durante quase uma década.
O WhatsApp diz que já estava a trabalhar na solução antes de receber o alerta dos investigadores e diz não ter encontrado qualquer indício de que atacantes tenham explorado a falha - mas isso é a "resposta tipo" com que a maioria das empresas reage a este tipo de notícias, e só caso se venha a descobrir que afinal houve roubo de dados é que rectificam dizendo que "afinal, após análise mais cuidada, foram efectivamente acedidos dados de um pequeno grupo de utilizadores".
Basicamente a mesma falha do sistema SPIN do Banco de Portugal que permite saber números de conta e nomes completos introduzindo números de telemóvel. Com isso podem fazer tudo o tipo de burlas...
ResponderEliminar