Security Blog

Pro většinu lidí je telefonní číslo jen prostředek pro volání a posílání zpráv. Když ale mluvíme o ochraně osobních údajů, často zapomínáme, že právě telefonní číslo je jedním z nejcitlivějších údajů. Nedávná chyba v aplikaci WhatsApp to názorně ukázala. 

WhatsApp je pro mnoho uživatelů nástrojem pro běžnou komunikaci. Slouží k domlouvání schůzek, sdílení fotografií i kontaktu s rodinou nebo přáteli. Díky koncovému šifrování a ověřeným účtům působí aplikace bezpečně. Odborníci z oblasti bezpečnosti však upozornili na chybu, která otevírá otázku, kolik soukromí ve skutečnosti WhatsApp uživatelům poskytuje.

Tito odborníci totiž objevili způsob, jak zjistit, která telefonní čísla jsou na WhatsAppu registrována. Díky tomu dokázali zmapovat přibližně 3,5 miliardy účtů. O svém zjištění informovali společnost Meta, která na problém rychle zareagovala a chybu opravila. Neexistují žádné důkazy o tom, že by byla zranitelnost zneužita kyberzločinci a celá situace tak byla úspěšně vyřešena.

Přesto nejde o banální problém. Ukazuje se, že funkce navržené pro větší uživatelský komfort, jako je například synchronizace kontaktů, mohou v určitých situacích představovat bezpečnostní riziko.

Jak se běžná funkce změnila v hrozbu

Problém se týkal běžně používané funkce synchronizace kontaktů. WhatsApp po spuštění porovnává kontakty uložené v telefonu a automaticky zobrazí ty, které už aplikaci používají. Právě tento mechanismus dokázali výzkumníci zneužít.

Pomocí automatizovaných skriptů bylo možné získat až 100 milionů telefonních čísel za hodinu a vytvořit rozsáhlou databázi aktivních účtů. U části z nich se podařilo získat také profilové fotografie a další veřejně dostupné informace. Samotné konverzace zůstaly chráněné.

I když byla chyba rychle opravena a nebylo zaznamenáno její zneužití, vyvstává důležitá otázka – kolik informací o vás může prozradit telefonní číslo a jak ho lépe chránit?

Proč je telefonní číslo tak cenné

Telefonní číslo není jen prostředek ke komunikaci. Slouží jako propojení k účtům na sociálních sítích, k dvoufázovému ověřování i k pracovním kontaktům. Většina lidí si navíc ponechává stejné číslo mnoho let.

I bez přístupu ke zprávám by mohli útočníci získaná data využít k dalším typům útoků:

• Phishingové útoky – Cílené zprávy nebo vydávání se za známé osoby s cílem získat peníze či další údaje.
• Vytváření falešných identit – Zneužití jména a profilové fotografie k oklamání dalších osob.
• Firemní podvody – Například falešné faktury nebo podvody, kdy se podvodník vydává za šéfa firmy. 
• Profilování obětí – Propojení čísla s dalšími uniklými daty za účelem krádeže identity nebo cílených podvodů.

Jak se lépe chránit

• Upravit nastavení soukromí – V aplikaci WhatsApp je vhodné nastavit viditelnost profilové fotografie, informací o profilu a stavu „naposledy online“ pouze pro vlastní kontakty.
• Zacházet s telefonním číslem obezřetně – Je dobré zvážit, kde všude je číslo veřejně dostupné, například na sociálních sítích nebo webových stránkách.
• Být opatrný u podezřelých zpráv – Pokud vás kontaktuje někdo z neznámého čísla nebo se známý ozve z nového kontaktu s žádostí o pomoc, je vždy lepší si jeho totožnost ověřit jiným způsobem.