„Dojče vele“ ekskluzivno: bezbednosna rupa u „Votsap“ grupama

Dojče vele je prošle nedelje otkrio da Votsap linkovi koji vode do zatvorenih grupa mogu lako da se pronađu – jednostavnom pretragom na Guglu. To je veliki bezbednosni propust. Usledile su žestoke negativne reakcije na društvenim mrežama, pa je Votsap te linkove uklonio iz Guglovih rezultata pretraživanja. 

Ali uprkos tome, javno dostupne internet arhive i dalje čuvaju te podatke, otkrio je istraživač bezbednosti Lav Kumar. On je skupio i organizovao preko 60.000 linkova, koji se još mogu naći na više sajtova.

Od 1.000 nasumično izabranih linkova koje je testirao Dojče vele, 427 su bili aktivni linkovi za čet. Čak i bez aktivnog pridruživanja grupi, njen naziv, opis, slika i telefonski broj autora dostupni su za sve. A kada se uđe u grupu, moguće je videti i brojeve telefona – do 256 učesnika – kao i ostale informacije. Nakon toga, dodavanjem tih brojeva u kontakte mogu se otkriti i imena u aplikaciji.

Reagujući na upit Dojče velea, Votsap je saopštio: „Pokazujemo sve telefonske brojeve u grupama radi bezbednosti ljudi, tako da znaju ko će primati njihove poruke“.

Opasnost u stvarnom životu

Koristeći tu bezbednosnu rupu, Dojče vele je tako recimo dobio pristup grupi koju u Indoneziji opisuju kao „Ministarstvo finansija državnih službenika“, uključujući i telefonske brojeve svih 14 članova. Za nekoliko drugih grupa ispostavilo se da su zvanične grupe za podršku kampanji brazilskog predsednika Žaira Bolsonara.

Među 427 aktivnih ispitivanih linkova, bilo je grupa za školske razrede, medicinske pripravnike, političke kampanje, razne poslove, pornografske i seksualne radnike. Neke grupe su uključivale članove posebno osetljivog identiteta, poput jednog četa sa stotinama članova koji su u latinoameričkoj zemlji sa visokim stepenom homofobnih ubistava, jasno označeni kao LGBTK+ grupa.

U nekim slučajevima, slika grupe je izgledala poput amaterske pornografije ili je imala naslove kao što su „tajni video-snimci bivših žena“. Na spisku su bile i potencijalne terorističke grupe i one gde se dele snimci „ekstremnog" seksualnog sadržaja, uključujući silovanje. Mali broj linkova ukazivao je na pedofilni sadržaj.

Votsap je za Dojče vele saopštio da kompanija ima politiku nulte tolerancije u vezi sa seksualnim zlostavljanjem dece i da odmah izbacuje korisnike ako se ispostavi da dele sadržaj koji zloupotrebljava ili ugrožava decu. Platforma takođe tvrdi da svakog meseca gasi oko 250.000 profila za koje se sumnja da dele zabranjene slike dece i da se pritom oslanja na dojave korisnika i sve nekodirane podatke.

Reagujući na ovo, neki korisnici Tvitera rekli su da bi tu rupu u bezbednosti vlasti mogle da koriste za pronalaženje i praćenje ilegalnog sadržaja. „Naravno da postoji ta mogućnost“, rekao je za Dojče vele Džejk Mor, specijalista za kibernetičku sigurnost, „ali teroristi retko koriste Votsap za komunikaciju“.

Međutim, istrage krajnje desnog terorizma u Nemačkoj pokazuju da su te organizacije koristile Votsap za upoznavanje članova.

Stari problem

Taj propust u bezbednosti poznat je još od 2016. Tada je „Votsap“ reagovao i rešio problem. Krajem 2019. problem je ponovo prijavljen, ali je u odgovoru za Dojče vele navedeno da se to ne smatra „visokim prioritetom“.

Iako se ovde tehnički ne radi klasičnom curenju podataka, to je ipak loše – jer su korisnici uvereni da pozivajući linkom nekoga u grupu njihova privatnost ostaje zaštićena. Stručnjaci su za Dojče vele rekli da bi „Votsap“ mogao te linkove da učini nevidljivim za javnost – ali je odlučio da to ne učini.

Portparol „Votsapa“ je za Dojče vele izjavio da su „administratori grupe u stanju da pozovu bilo kog korisnika aplikacije da se pridruži toj grupi deljenjem linka koju su oni generisali. Kao i sav sadržaj koji se deli javnim kanalima koji se mogu pretraživati, te linkove mogu da pronađu drugi korisnici Votsap aplikacije. Ako korisnici žele da linkove dele privatno sa osobama koje znaju i kojima veruju, ne smeju ih objavljivati na javno dostupnoj veb-lokaciji“.

Predstavnik kompanije takođe je naglasio da aplikacija „jasno prenosi upozorenje ljudima koji dele link za poziv u grupu“, a „administratori grupe mogu opozvati link u bilo kom trenutku". Međutim, stručnjaci za Dojče vele kažu da se opozivom samo generiše novi link – a da se ne isključuje u potpunosti.

Votsap je aplikacija za razmenu poruka, fotografija i video-zapisa putem interneta na pametnim telefonima. Smatra se da je pojava tog mesindžera dovela do gotovo potpunog nestanka klasičnih telefonskih SMS-poruka.

Kompaniju su 2009. u Kaliforniji osnovali Brajan Ekšn i Jan Kum. Posle samo pet godina, u februaru 2014. – kada je za 19 milijardi dolara prodata Fejsbuku – ta aplikacija je imala više od 450 miliona aktivnih korisnika. U februara 2020. Votsap je navodno imao čak dve milijarde korisnika.