KhoGameHub – Diễn đàn Công Nghệ & Gaming, nơi chia sẻ game PC, console, retro online và phần mềm hữu ích

Nhóm nhà nghiên cứu bảo mật vừa công bố chi tiết về một lỗ hổng trên WhatsApp có thể bị lợi dụng để thu thập hàng tỷ bản ghi người dùng — bao gồm số điện thoại, ảnh hồ sơ và trạng thái công khai. Vấn đề này không cho phép truy cập tin nhắn mã hoá, nhưng lại đặt ra rủi ro lớn về quyền riêng tư do khối lượng dữ liệu có thể được thu thập tự động từ dịch vụ.

Theo phân tích của các chuyên gia, lỗ hổng nằm trong cơ chế tìm kiếm và xác thực danh bạ của WhatsApp. Bằng cách tự động gửi các yêu cầu tới các điểm cuối của dịch vụ và kết hợp phản hồi trả về, kẻ tấn công có thể xác định danh tính các số điện thoại đang sử dụng WhatsApp, đồng thời truy xuất ảnh hồ sơ và trạng thái nếu những mục này được đặt ở chế độ công khai hoặc chia sẻ rộng.

Nhóm nghiên cứu ước tính rằng phương pháp này có thể được mở rộng để thu thập dữ liệu từ hàng tỷ người dùng. Các nhà báo và chuyên gia bảo mật dẫn lại con số gần 3,5 tỷ mục dữ liệu có thể bị ảnh hưởng — một quy mô lớn so với các sự cố rò rỉ cá nhân thông thường.

• Không ảnh hưởng tới nội dung tin nhắn mã hoá end-to-end.
• Rủi ro tập trung ở dữ liệu công khai của hồ sơ và trạng thái, cùng việc xác thực số điện thoại.
• Phương thức tấn công tận dụng tự động hoá và việc dịch vụ trả về thông tin trạng thái/ảnh dạng công khai.

WhatsApp (thuộc Meta) đã có những phản hồi hạn chế, cho biết họ duy trì các biện pháp bảo vệ nhằm ngăn chặn việc lạm dụng API và hệ thống tự động, đồng thời triển khai các thay đổi để hạn chế tốc độ truy vấn và phát hiện hành vi bất thường.

Các chuyên gia bảo mật khuyến nghị người dùng nên kiểm tra lại các cài đặt quyền riêng tư: giới hạn ai có thể xem ảnh hồ sơ và trạng thái, đồng thời cân nhắc chỉ cho 'Danh bạ' thay vì 'Mọi người'. Các tổ chức và nhà phát triển cần cập nhật chính sách hạn chế truy vấn tự động và giám sát lưu lượng bất thường để giảm thiểu nguy cơ thu thập quy mô lớn.

Dù lỗ hổng không làm suy yếu mã hoá đầu-cuối, sự kiện này nhấn mạnh rằng quyền riêng tư không chỉ phụ thuộc vào việc bảo vệ nội dung tin nhắn mà còn ở cách dịch vụ quản lý dữ liệu hồ sơ và tính năng tìm kiếm. Sự phân tách giữa dữ liệu công khai và dữ liệu riêng tư cần được rà soát liên tục, đặc biệt khi kẻ tấn công có thể tự động hoá các truy vấn ở quy mô lớn.

Các câu hỏi còn mở bao gồm: liệu WhatsApp có triển khai thêm các giới hạn nghiêm ngặt hơn cho tính năng tìm kiếm? Các nhà quản lý bảo mật có yêu cầu minh bạch báo cáo sự cố và kiểm định độc lập cho các hệ thống như vậy hay không?

Độc giả muốn tìm hiểu chi tiết có thể tham khảo bài viết gốc tại TechSpot: techspot.com, cũng như các phân tích bổ sung từ BleepingComputer: bleepingcomputer.com và tổng hợp tin tức trên The Verge: theverge.com.

Kết luận, sự cố lần này là lời nhắc rằng ngay cả những nền tảng nhắn tin phổ biến nhất cũng cần cập nhật liên tục cơ chế bảo vệ dữ liệu hồ sơ người dùng để đối phó với các chiến thuật thu thập tự động ngày càng tinh vi.