Veliki sigurnosni propust u WhatsApp-grupama

Ekskluzivno istraživanje DW-a pokazuje da se tisuće linkova ka privatnim WhatsApp-grupama lako mogu naći na Internetu. Čak i bez pridruživanja grupi dolazi se do brojeva telefona članova grupa i njihovih imena. DW je prošlog tjedna otkrio da se WhatsApp linkovi koji vode do zatvorenih grupa mogu lako pronaći – jednostavnom pretragom na Googleu. To je veliki sigurnosni propust. Uslijedile su žestoke negativne reakcije na društvenim mrežama, pa je WhatsApp te linkove uklonio iz Googleovih rezultata pretraživanja.

Ali usprkos tome, javno dostupni internetski arhivi i dalje čuvaju te podatke, otkrio je istraživač sigurnosti Lav Kumar. On je skupio preko 60.000 linkova, koji se još uvijek mogu naći na više web-stranica.

Od 1.000 nasumično izabranih linkova koje je testirao DW, 427 su bili aktivni linkovi za chat. Čak i bez aktivnog pridruživanja grupi, njezin naziv, opis, slika i telefonski broj administratora dostupni su za sve. A kada se uđe u grupu, moguće je vidjeti i brojeve telefona – do 256 članova – kao i ostale informacije. Nakon toga, dodavanjem tih brojeva u kontakte mogu se otkriti i imena u aplikaciji.

Reagirajući na upit DW-a WhatsApp je priopćio: „Pokazujemo sve telefonske brojeve u grupama radi sigurnosti ljudi, tako da znaju tko će primati njihove poruke."

Opasnost u stvarnom životu

Koristeći tu sigurnosnu rupu, DW je tako dobio pristup grupi koju u Indoneziji opisuju kao „Ministarstvo financija državnih službenika", uključujući i telefonske brojeve svih 14 članova. Za nekoliko drugih grupa ispostavilo se da su službene grupe za podršku kampanji brazilskog predsjednika Jaira Bolsonara.

Među 427 aktivnih provjeravanih linkova bilo je grupa za školske razrede, medicinske pripravnike, političke kampanje, razne poslove, pornografske i seksualne radnike. Neke grupe su uključivale članove posebno osjetljivog identiteta, poput jednog chata sa stotinama članova koji su u jednoj latinsko-američkoj zemlji s visokom stopom homofobnih ubojstava, jasno označeni kao LGBTQ+ grupa.

U nekim slučajevima slika grupe je izgledala poput amaterske pornografije ili je imala naslove kao što su „tajne video snimke bivših žena".

Na popisu su bile i potencijalne terorističke grupe i one u kojima se dijele snimke ekstremnog seksualnog sadržaja, uključujući silovanje. Mali broj linkova ukazivao je da se radi čak o pedofilnom sadržaju.

WhatsApp je DW-u priopćio da kompanija ima politiku nulte tolerancije u vezi sa seksualnim zlostavljanjem djece i da odmah izbacuje korisnike ako se ispostavi da dijele sadržaj koji zloupotrebljava ili ugrožava djecu. Platforma također tvrdi da svakog mjeseca gasi oko 250.000 profila za koje se sumnja da dijele zabranjene slike djece i da se pritom oslanja na dojave korisnika i sve nekodirane podatke.

Reagirajući na ovo neki korisnici Twittera su rekli da bi tu sigurnosnu rupu vlasti mogle koristiti za pronalaženje i praćenje ilegalnog sadržaja.

„Naravno da postoji ta mogućnost", rekao je za DW Jake Moore, stručnjak za kibernetičku sigurnost, „ali teroristi rijetko koriste WhatsApp za komunikaciju.

Međutim, istrage krajnje desnog terorizma u Nemačkoj pokazuju da su te organizacije koristile WhatsApp za upoznavanje članova.

Stari problem

Taj propust u sigurnosti poznat je još od 2016. Tada je WhatsApp reagirao i riješio problem. Krajem 2019. problem je ponovo prijavljen, ali je u odgovoru DW-u navedeno da se to ne smatra „visokim prioritetom".

Iako se ovdje tehnički ne radi o klasičnom curenju podataka, to je ipak loše – jer su korisnici uvjereni da pozivajući linkom nekoga u grupu njihova privatnost ostaje zaštićena. Stručnjaci su za DW rekli da bi WhatsApp mogao te linkove učiniti nevidljivim za javnost – ali je odlučio da to ne učini.

Glasnogovornik WhatsApp-a je za DW izjavio da su „administratori grupe u stanju pozvati bilo kojeg korisnika aplikacije da se pridruži toj grupi dijeljenjem linka koji su oni generirali. Kao i sav sadržaj koji se dijeli javnim kanalima koji se mogu pretraživati, te linkove mogu pronaći drugi korisnici WhtasApp-aplikacije. Ako korisnici žele linkove dijeliti privatno s osobama koje znaju i kojima vjeruju, ne smiju ih objavljivati na javno dostupnoj web-lokaciji."

Predstavnik kompanije također je naglasio da aplikacija „jasno prenosi upozorenje ljudima koji dijele link za poziv u grupu", a „administratori grupe mogu opozvati link u bilo kojem trenutku". Međutim, stručnjaci za DW kažu da se opozivom samo generira novi link – a da se ne isključuje u potpunosti.

WhatsApp je aplikacija za razmjenu poruka, fotografija i video-zapisa preko Interneta na pametnim telefonima. Smatra se da je pojava tog messengera dovela do gotovo potpunog nestanka klasičnih telefonskih SMS-poruka. Kompaniju su 2009. u Kaliforniji osnovali Brian Acton i Jan Koum. Poslije samo pet godina, u veljači 2014. – kada je za 19 milijardi dolara prodana Facebooku – ta aplikacija je imala više od 450 milijuna aktivnih korisnika. U veljači 2020. WhatsApp je navodno imao čak dvije milijarde korisnika.