Η ΜΕΤΑ αναγκάστηκε να παρέμβει μετά την αποκάλυψη των Αυστριακών ερευνητών – Το εύρος του προβλήματος και οι παγκόσμιες συνέπειες για την ασφάλεια των μηνυμάτων
Ένα μεγάλης κλίμακας κενό απορρήτου εντόπισαν ερευνητές του Πανεπιστημίου της Βιέννης και του SBA Research, αποκαλύπτοντας την πιο εκτεταμένη ευπάθεια που έχει καταγραφεί στην ιστορία του WhatsApp. Το ελάττωμα εντοπίστηκε στον μηχανισμό ανακάλυψης επαφών της δημοφιλούς πλατφόρμας και επέτρεψε την εξαγωγή δεδομένων που αφορούν 3,5 δισεκατομμύρια λογαριασμούς σε 245 χώρες.
Η ερευνητική ομάδα απέδειξε ότι μπορούσε να στέλνει έως και 100 εκατομμύρια αιτήματα ανά ώρα μέσω της υποδομής του WhatsApp, αξιοποιώντας το τεχνικό σφάλμα χωρίς κανέναν ουσιαστικό περιορισμό ή φίλτρο προστασίας.
Το εύρημα χαρακτηρίζεται «δομικό» και «υψηλού κινδύνου», καθώς έδειξε ότι ολόκληρη η αρχιτεκτονική ανακάλυψης χρηστών μπορούσε να μετατραπεί σε εργαλείο μαζικής συλλογής δεδομένων.
Πώς εντοπίστηκε το κενό – Τι σημαίνει για την πλατφόρμα
Ο μηχανισμός ανακάλυψης επαφών, που επιτρέπει στην εφαρμογή να βρίσκει ποιοι αριθμοί τηλεφώνου είναι ενεργοί στο WhatsApp, λειτούργησε —όπως διαπιστώθηκε— χωρίς τους απαραίτητους περιορισμούς στον αριθμό αιτημάτων που μπορούσε να επεξεργαστεί.
Σύμφωνα με τον επικεφαλής της ομάδας, Γκάμπριελ Γκεγκενχούμπερ,
«Κανονικά ένα σύστημα δεν θα έπρεπε να ανταποκρίνεται σε τόσο μεγάλο αριθμό αιτημάτων σε τόσο σύντομο χρονικό διάστημα – ειδικά από μία πηγή». Η αδυναμία αυτή άνοιξε τον δρόμο για τη μη εξουσιοδοτημένη επιβεβαίωση λογαριασμών χρηστών σε παγκόσμιο επίπεδο.
Όπως σημειώνει ο ίδιος:
«Η συμπεριφορά του συστήματος αποκάλυψε το υποκείμενο ελάττωμα, επιτρέποντάς μας να εκδίδουμε ουσιαστικά απεριόριστα αιτήματα και να αντιστοιχίζουμε δεδομένα χρηστών παγκοσμίως».
Η αντίδραση της ΜΕΤΑ και η σημασία της ανεξάρτητης έρευνας
Μετά την ενημέρωση από τους ερευνητές, η ΜΕΤΑ προχώρησε στη λήψη μέτρων με σκοπό να περιοριστεί η λειτουργία του μηχανισμού, ενισχύοντας τους μηχανισμούς ασφαλείας και ελέγχου των μαζικών αιτημάτων.
Το Πανεπιστήμιο της Βιέννης τονίζει ότι η υπόθεση αναδεικνύει τη σημασία της ανεξάρτητης και διαρκούς ασφάλειας στις μεγάλες πλατφόρμες επικοινωνίας, αλλά και τους κινδύνους της συγκέντρωσης υπηρεσιών μηνυμάτων σε παγκόσμιες εταιρείες.
Τα ευρήματα θα παρουσιαστούν επισήμως στο Network and Distributed System Security Symposium (NDSS) το 2026, ένα από τα κορυφαία διεθνή συνέδρια κυβερνοασφάλειας.
