BARUAnda sekarang dapat mendengarkan artikel Fox News!
Sebagian besar platform besar telah menangani kebocoran data berskala besar yang terkait dengan API yang lemah atau tidak terlindungi. Anda telah melihat hal ini terjadi pada Facebook, X, dan bahkan Dell.
Polanya selalu sama. Sebuah fitur yang dimaksudkan untuk membuat hidup lebih mudah menjadi pintu gerbang pengumpulan data massal.
WhatsApp kini menjadi bagian dari daftar tersebut setelah para peneliti berhasil mengumpulkan 3,5 miliar nomor telepon dengan memanfaatkan celah sederhana dalam sistem penemuan kontak aplikasi.
Daftar untuk mendapatkan Laporan CyberGuy GRATIS saya
Dapatkan tips teknologi terbaik saya, peringatan keamanan mendesak, dan penawaran eksklusif dikirimkan langsung ke kotak masuk Anda. Plus, Anda akan mendapatkan akses instan ke Panduan Bertahan Hidup Penipuan Utama saya — gratis jika Anda bergabung dengan saya CYBERGUY.COM buletin.
Bagaimana para peneliti menggores 3,5 miliar nomor WhatsApp
WHATSAPP LARANG 6,8 JT AKUN SCAM, LUNCURKAN ALAT KESELAMATAN
Para peneliti menemukan bahwa batas API yang lemah memungkinkan hilangnya miliaran nomor WhatsApp. (Gambar Getty)
Seperti dilansir Bleeping Computer, seluruh kejadian dimulai dengan API GetDeviceList WhatsApp. Ini adalah titik akhir yang digunakan aplikasi saat Anda menambahkan nomor ke kontak Anda. Ini memberitahu WhatsApp untuk memeriksa apakah nomor tersebut memiliki akun dan perangkat apa yang terhubung dengannya. Masalahnya adalah API tidak memiliki batasan tarif yang berarti. Sederhananya, sistem tidak memperlambat atau memblokir permintaan berulang, sehingga membuka pintu untuk pencacahan massal.
Para peneliti dari Universitas Wina dan SBA Research memutuskan untuk menguji seberapa jauh mereka dapat mendorong hal ini. Dengan hanya menggunakan lima sesi terautentikasi dan satu server universitas, mereka mulai menyerang server WhatsApp dengan pertanyaan. Mereka mengira akan diblokir dengan cepat, namun WhatsApp tidak bereaksi sama sekali.
Begitulah cara mereka memeriksa lebih dari 100 juta nomor telepon per jam. Setelah menghasilkan kumpulan global yang terdiri dari 63 miliar kemungkinan nomor ponsel, mereka menjalankan daftar tersebut melalui API dan mengonfirmasi 3,5 miliar akun WhatsApp aktif.
Para peneliti berhasil mengumpulkan lebih dari sekedar nomor telepon
Para peneliti tidak berhenti mengkonfirmasi keberadaan akun. Mereka menggunakan titik akhir WhatsApp lainnya seperti GetUserInfo, GetPrekeys, dan FetchPicture untuk mendapatkan detail lebih lanjut. Ini termasuk foto profil, teks “tentang”, informasi perangkat, dan kunci publik. Sebuah pengujian yang dilakukan di Amerika Serikat saja mengunduh 77 juta foto profil tanpa mencapai batas apa pun, banyak di antaranya dengan gambar wajah orang yang jelas. Bagian “tentang” publik sering kali mengungkapkan informasi pribadi atau tautan ke profil lain. Jika dibandingkan dengan data Facebook pada tahun 2021, mereka menemukan bahwa 58% nomor Facebook yang dibocorkan masih aktif di WhatsApp beberapa tahun kemudian. Hal itulah yang membuat kebocoran nomor telepon sangat merugikan. Mereka tetap berguna bagi penyerang lama setelah pelanggaran awal.
PENGACARA RUSIA KLAIM WHATSAPP ADALAH ANCAMAN KEAMANAN NASIONAL, HARUS BERSIAP MENINGGALKAN NEGARA
Penting untuk dicatat bahwa penelitian ini dilakukan oleh peneliti yang belum merilis datanya. Mereka juga melaporkan masalah ini ke WhatsApp. Sejak saat itu, perusahaan telah menambahkan perlindungan pembatasan tarif untuk mencegah penyalahgunaan serupa terjadi lagi. Namun, temuan ini menunjukkan betapa mudahnya pelaku ancaman melakukan hal yang sama jika mereka menemukan celahnya terlebih dahulu.
Mengapa hal ini terus terjadi di seluruh platform utama
Batasan kecepatan API yang lemah atau tidak ada telah menyebabkan beberapa kebocoran data besar dalam beberapa tahun terakhir, dan WhatsApp bukanlah satu-satunya contohnya. Pada tahun 2021, penyerang menyalahgunakan fitur “Tambahkan Teman” Facebook dengan mengunggah daftar kontak dan memeriksa nomor mana yang cocok dengan akun aktif. API tidak memiliki perlindungan yang tepat, sehingga mereka menghapus 533 juta profil. Meta kemudian mengonfirmasi insiden tersebut sebagai pengikisan otomatis, dan DPC Irlandia mendenda perusahaan tersebut sebesar €265 juta.
Twitter mengalami masalah serupa ketika penyerang menggunakan bug API untuk mencocokkan nomor telepon dan alamat email dengan 54 juta akun. Dell juga melaporkan bahwa 49 juta catatan pelanggan dihapus setelah penyerang memanfaatkan titik akhir API yang tidak terlindungi.
Semua kasus ini memiliki akar permasalahan yang sama. API yang memungkinkan pencarian akun atau kueri data akan mudah diserang jika tidak membatasi seberapa sering seseorang dapat mengaksesnya. Satu fitur yang tidak dicentang dapat berubah menjadi saluran pengumpulan data massal.
7 langkah yang dapat Anda ambil untuk menjaga keamanan data WhatsApp Anda
Jika nomor telepon Anda terkena salah satu kesalahan besar ini, Anda tidak dapat menariknya kembali, namun Anda dapat memastikan bahwa nomor tersebut kurang berguna bagi siapa pun yang mencoba menargetkan Anda. Berikut adalah beberapa langkah yang membantu Anda tetap lebih aman.
1) Gunakan otentikasi dua faktor
Aktifkan 2FA untuk WhatsApp dan setiap akun penting lainnya. Meskipun seseorang mengetahui nomor Anda, mereka tidak dapat masuk tanpa langkah verifikasi kedua tersebut. Ini juga melindungi Anda dari upaya pertukaran SIM karena pencuri tidak dapat mengakses akun Anda hanya dengan kata sandi.
Skrip otomatis sederhana menarik data ponsel dalam skala besar tanpa memicu peringatan. (produksi yang mendambakan / Getty Images)
2) Gunakan pengelola kata sandi
Pengelola kata sandi menjaga setiap login tetap unik. Jika penyerang mencoba memasangkan nomor Anda yang tergores dengan serangan pengisian kredensial, penggunaan ulang kata sandi tidak akan memberi mereka kemenangan mudah. Kata sandi yang kuat dan acak menghentikan seluruh kategori serangan otomatis.
Selanjutnya, lihat apakah email Anda pernah terkena pelanggaran sebelumnya. Pilihan pengelola kata sandi No. 1 kami mencakup pemindai pelanggaran bawaan yang memeriksa apakah alamat email atau kata sandi Anda muncul dalam kebocoran yang diketahui. Jika Anda menemukan kecocokan, segera ubah kata sandi yang digunakan ulang dan amankan akun tersebut dengan kredensial baru dan unik.
Lihat pengelola kata sandi terbaik yang ditinjau oleh para ahli tahun 2025 di Cyberguy.com.
3) Hapus data Anda dari database publik
Menyisih dari broker data dan situs pencarian orang bila Anda bisa. Semakin sedikit penyerang informasi publik yang dapat mengaitkan nomor Anda, semakin sulit bagi mereka untuk membuat pesan phishing yang meyakinkan atau penipuan berbasis identitas.
Meskipun tidak ada layanan yang dapat menjamin penghapusan data Anda sepenuhnya dari internet, layanan penghapusan data adalah pilihan cerdas. Harganya tidak murah, begitu pula privasi Anda. Layanan ini melakukan semua pekerjaan untuk Anda dengan secara aktif memantau dan secara sistematis menghapus informasi pribadi Anda dari ratusan situs web. Ini yang memberi saya ketenangan pikiran dan terbukti menjadi cara paling efektif untuk menghapus data pribadi Anda dari internet. Dengan membatasi informasi yang tersedia, Anda mengurangi risiko penipu melakukan referensi silang data dari pelanggaran dengan informasi yang mungkin mereka temukan di web gelap, sehingga mempersulit mereka untuk menargetkan Anda.
APAKAH NOMOR TELEPON TEMAN ANDA TERKENA? INILAH YANG PERLU DIPERHATIKAN
Lihat pilihan teratas saya untuk layanan penghapusan data dan dapatkan pemindaian gratis untuk mengetahui apakah informasi pribadi Anda sudah ada di web dengan mengunjungi Cyberguy.com.
Dapatkan pemindaian gratis untuk mengetahui apakah informasi pribadi Anda sudah tersebar di web: Cyberguy.com.
4) Batasi apa yang Anda bagikan di bios profil
Jaga agar teks “tentang” WhatsApp Anda tetap minimal. Hindari detail seperti jabatan, kampung halaman, atau tautan ke akun lain. Nomor telepon yang tergores sering kali dipasangkan dengan bios yang terlihat publik untuk membangun profil penipuan yang lebih lengkap.
5) Perketat pengaturan privasi Anda
Sesuaikan siapa yang dapat melihat foto profil, terakhir dilihat, dan status Anda. Menyetelnya ke “Hanya kontak” atau “Tidak Ada” akan mencegah orang asing mendapatkan lebih banyak informasi pribadi setelah mereka mengetahui nomor Anda. Untuk memperketat pengaturan privasi Anda di WhatsApp di iPhone atau Android, ikuti langkah-langkah berikut:
- Buka WhatsApp di ponsel Anda di ponsel Anda.
- Pergi ke Pengaturan: Pada iPhoneketuk “Pengaturan” ikon roda gigi di kanan bawah. Pada Androidketuk tiga titik vertikal di pojok kanan atas, lalu pilih “Pengaturan.”
- Mengetuk “Akun.”
- Mengetuk “Pribadi.”
- Sesuaikan opsi privasi di bawah untuk mengontrol siapa yang dapat melihat informasi pribadi Anda:
- Terakhir Dilihat & Daring: Mengetuk “Terakhir Dilihat & Daring” dan pilih “Kontak Saya” atau “Bukan siapa-siapa” untuk membatasi siapa yang melihat status aktif terakhir Anda.
- Foto Profil: Mengetuk “Foto Profil” dan pilih “Kontak Saya” atau “Bukan siapa-siapa” untuk mencegah orang asing melihat gambar profil Anda.
- Tentang: Mengetuk “Tentang” dan pilih “Kontak Saya” atau “Bukan siapa-siapa” untuk membatasi siapa yang dapat melihat info Tentang Anda.
- Status: Mengetuk “Status,” lalu pilih “Kontak Saya,” “Kontak Saya Kecuali…,” atau “Hanya Berbagi Dengan… “untuk mengontrol siapa yang dapat melihat pembaruan status Anda.
Perubahan ini mencegah orang yang tidak ada dalam kontak Anda atau orang asing mengambil detail pribadi dari profil WhatsApp Anda, sehingga meningkatkan privasi Anda secara efektif di perangkat iPhone atau Android.
Karena sistem ini tidak memiliki batasan laju yang tepat, pengikisan terus berlanjut tanpa terdeteksi selama berbulan-bulan. (Kurt Knutsson)
6) Instal perangkat lunak antivirus yang kuat
Banyak kampanye phishing dan malware dimulai dengan nomor palsu. Perangkat lunak antivirus yang kuat dapat memblokir tautan berbahaya, mendeteksi unduhan berbahaya, dan memperingatkan Anda ketika ada sesuatu yang mencurigakan.
Cara terbaik untuk melindungi diri Anda dari tautan jahat yang memasang malware, yang berpotensi mengakses informasi pribadi Anda, adalah dengan memasang perangkat lunak antivirus yang kuat di semua perangkat Anda. Perlindungan ini juga dapat mengingatkan Anda akan email phishing dan penipuan ransomware, sehingga menjaga informasi pribadi dan aset digital Anda tetap aman.
Dapatkan pilihan saya untuk pemenang perlindungan antivirus terbaik tahun 2025 untuk perangkat Windows, Mac, Android, dan iOS Anda di Cyberguy.com.
7) Berhati-hatilah dengan panggilan dan pesan yang tidak dikenal
Perlakukan pesan tak terduga dengan lebih curiga. Jangan klik tautan, jangan bagikan OTP, dan jangan tanggapi siapa pun yang meminta kode verifikasi. Setelah nomor-nomor tersebut dihapus, penipu akan meningkatkan upaya spam dan peniruan identitas.
Poin utama Kurt
WhatsApp mungkin telah memperbaiki masalah ini, tetapi masalah yang lebih besar masih ada. Platform apa pun yang mengekspos API tanpa batas kecepatan yang tepat akan membuka peluang bagi seseorang yang memiliki alat yang tepat dan waktu yang cukup. Goresan ini menunjukkan kepada Anda seberapa cepat jendela itu dapat berubah menjadi sumber data pribadi. Hingga keamanan API menjadi prioritas secara keseluruhan, Anda akan terus melihat kebocoran seperti ini berulang dalam skala yang lebih besar.
Menurut Anda, apakah aplikasi harus diwajibkan secara hukum untuk menerapkan batasan API yang ketat? Beri tahu kami dengan menulis kepada kami di Cyberguy.com.
KLIK DI SINI UNTUK MENGUNDUH APLIKASI FOX NEWS
Daftar untuk mendapatkan Laporan CyberGuy GRATIS saya
Dapatkan tips teknologi terbaik saya, peringatan keamanan mendesak, dan penawaran eksklusif dikirimkan langsung ke kotak masuk Anda. Plus, Anda akan mendapatkan akses instan ke Panduan Bertahan Hidup Penipuan Utama saya — gratis jika Anda bergabung dengan saya CYBERGUY.COM buletin.
Hak Cipta 2025 CyberGuy.com. Semua hak dilindungi undang-undang.
