Chỉ một lỗ hổng nhỏ khiến WhatsApp lộ 3,5 tỷ số điện thoại

Trên WhatsApp, chỉ cần nhập số điện thoại bất kỳ, nếu có người dùng, ứng dụng sẽ hiển thị tài khoản với tên và ảnh hồ sơ. Tưởng như vô hại, nhưng tính năng này lại trở thành “lỗ hổng vàng” để thu thập dữ liệu của gần như toàn bộ người dùng WhatsApp trên thế giới.

Nhóm nghiên cứu tại Áo cho biết họ đã thử quét mọi số điện thoại có thể có thông qua tính năng tìm kiếm liên hệ và thu về 3,5 tỷ số điện thoại người dùng. Trong số đó, khoảng 57% tài khoản để lộ ảnh đại diện và 29% để lộ cả dòng mô tả hồ sơ.

Theo tờ WIRED, mặc dù từ năm 2017 đã có chuyên gia cảnh báo về nguy cơ rò rỉ dữ liệu qua cơ chế tìm kiếm liên hệ này, Meta, công ty mẹ của WhatsApp, vẫn không áp dụng giới hạn truy vấn đủ chặt.

Các nhà nghiên cứu từ Áo đã có thể kiểm tra tới 100 triệu số điện thoại mỗi giờ thông qua phiên bản WhatsApp trên trình duyệt.

Aljosha Judmayer, thành viên nhóm nghiên cứu tại Đại học Vienna, cho biết: “Theo hiểu biết của chúng tôi, đây là vụ rò rỉ số điện thoại và dữ liệu người dùng có quy mô lớn nhất từng được ghi nhận”.

Nhóm cho hay họ đã cảnh báo Meta vào tháng 4 và tiến hành xóa toàn bộ dữ liệu thu được trong quá trình nghiên cứu. Đến tháng 10, Meta mới siết chặt giới hạn truy vấn để ngăn chặn việc quét dữ liệu hàng loạt. 

Max Günther, một thành viên khác của nhóm, cho rằng có thể có những kẻ xấu đã lợi dụng kẽ hở này: “Nếu chúng tôi làm được dễ dàng như vậy, thì những người khác cũng có thể”.

Trong phản hồi gửi cho WIRED, Meta bày tỏ cảm ơn nhóm nghiên cứu, đồng thời cho rằng những dữ liệu bị lộ chỉ là “thông tin công khai cơ bản”. Theo Meta, ảnh đại diện và dòng mô tả hồ sơ sẽ không bị hiển thị nếu người dùng đã đặt chế độ riêng tư.

Nitin Gupta, Phó chủ tịch phụ trách kỹ thuật của WhatsApp, cho biết: “Chúng tôi đã xây dựng các hệ thống chống hành vi thu thập dữ liệu. Chúng tôi không tìm thấy bằng chứng cho thấy có tác nhân xấu nào từng lạm dụng lỗ hổng này. Xin nhắc lại rằng tin nhắn của người dùng vẫn an toàn nhờ mã hoá đầu cuối mặc định, và không có dữ liệu riêng tư nào bị nhóm nghiên cứu truy cập”.

Tuy nhiên, theo các nhà nghiên cứu, toàn bộ quá trình thu thập dữ liệu của họ diễn ra mà không gặp bất kỳ “hệ thống bảo vệ” nào như Meta mô tả. Đây cũng không phải lần đầu tiên WhatsApp được cảnh báo về cơ chế để lộ số điện thoại và dữ liệu hồ sơ. 

Năm 2017, chuyên gia người Hà Lan, Loran Kloeze, đã chỉ ra trong một bài blog rằng hoàn toàn có thể quét số điện thoại để lấy thông tin hồ sơ, ảnh đại diện và cả thời điểm người dùng trực tuyến.

Facebook (nay là Meta) đã trả lời rằng WhatsApp cho phép người dùng cài đặt chế độ riêng tư, nghĩa là người dùng hoàn toàn có thể giới hạn ai được xem thông tin hồ sơ. Meta cũng cho biết phát hiện của chuyên gia người Hà Lan này không đủ điều kiện nhận tiền thưởng.

Khi WIRED đặt câu hỏi về việc WhatsApp đã triển khai những biện pháp nào trong 8 năm qua để ngăn tình trạng quét dữ liệu, Meta khẳng định họ có áp dụng các lớp bảo vệ nâng cấp theo thời gian, mô hình học máy để nhận diện và chặn các công cụ thu thập dữ liệu.

Tuy nhiên, nhóm nghiên cứu Đại học Vienna cho biết vẫn có thể thu thập dữ liệu như cách mà chuyên gia người Hà Lan từng thực hiện vào năm 2017. Thậm chí, số lượng số điện thoại thu thập được còn vượt xa dữ liệu của chuyên gia người Hà Lan cách đây 8 năm trước.

Nhóm cũng kiểm chứng hiệu quả tính năng "cài đặt riêng tư" của Meta bằng cách phân tích tỷ lệ người dùng công khai ảnh và mô tả hồ sơ theo từng quốc gia.

Kết quả cho thấy mức độ lộ thông tin rất lớn. Tại Mỹ, trong số 137 triệu tài khoản quét được, 44% hiển thị ảnh đại diện và 33% công khai dòng mô tả hồ sơ.

Các thị trường sử dụng WhatsApp rộng rãi hơn còn có tỷ lệ cao hơn: ở Ấn Độ, nhóm ghi nhận gần 750 triệu số, có 62% tài khoản để ảnh đại diện công khai; tại Brazil, trong 206 triệu tài khoản, 61% hiển thị ảnh hồ sơ.

Theo nhóm nghiên cứu, cơ sở dữ liệu số điện thoại “lộ thiên” như vậy là nguồn tài nguyên khổng lồ cho các nhóm lừa đảo và phát tán thư rác.