A Whatsapp új felhasználónevei egy komoly biztonsági rést nyitottak ki

16-Jul-2026 Bitcoinbazis.hu

2026 júniusában a WhatsApp engedélyezte 3 milliárd felhasználójának, hogy elrejtse telefonszámát az új kontaktok elől, és egy választott felhasználónévvel helyettesítse azt. A GDPR szabályozás szerint ez a tankönyvi adatminimalizálás legkiválóbb példája: kevesebb személyes adatot fed fel, mint amennyit a platform korábban alapértelmezés szerint megkövetelt. Az európai jogvédőknek örülniük kellene. Úgy tűnik azonban, senki sem vette észre az európai IT biztonsági csapatokban, hogy ez a változás ugyanakkor mit okozott.

Ezekután minden új kontaktot engedélyezni fogunk?

17 éven át a WhatsApp alkalmazásban a saját telefonszám megadása egy bizalmi kapcsolatot hordozott, amelyet senki sem tervezett szándékosan. SIM-kártya regisztrációhoz, és a legtöbb EU-tagállamban a helyi személyazonossági szabályok szerint ellenőrzött távközlési szolgáltatónál vezetett identitáshoz kötötték. Ez de facto egy ellenőrző csatornává tette: ha egy olyan kontakt, amely a banki ügyintézőnek vagy egy munkatársnak vallotta magát, kapcsolatot kezdeményezett, de valami nem stimmelt, bárki ellenőrizhette a számot. Soha nem egy hitelesítési kontrollként épült. Mindenesetre annak működött egy olyan kontinensen, amely egy évtizedet töltött az adatvédelem törvényhozásával, és viszonylag kevés időt töltött az arra épülő informális bizalmi szokások törvényi szabályozásával.

A Whatsapp most bevezetett változása az adatvédelem szempontjából pozitív és összhangban van a GDPR-ral, de egyben egy biztonsági visszalépést is jelent. Ugyanis az adatminimalizálási felülvizsgálat azt kérdezi, hogy kevesebb személyes adat kerül-e nyilvánosságra. Nem kérdezi meg, hogy egy informális, korábbi ellenőrzési szokás, amelyre emberek milliói támaszkodtak, eltűnt-e. A felhasználónevek nem hordozzák a szám implicit identitási súlyát. Bárki regisztrálhat egyet, ugyanúgy, ahogy bárki igényelhet egy felhasználónevet a Telegramon, anélkül, hogy bármilyen ellenőrzés történne mögötte.

A WhatsApp védelmi eljárásai valósak, nincs nyilvános címtár, nincs automatikus kiegészítés, fenntartott nevek az ellenőrzött szervezetek számára, de a felfedezhetőséget célozzák, nem az ellenőrizhetőséget. Megakadályozzák, hogy egy hamis felhasználónevet böngészés útján megtaláljanak. Semmit sem tesznek azonban annak érdekében, hogy valaki elhiggyen egy hamis fiókról, hogy valós, miután az közvetlenül eléri őt, és így történik valójában a social engineering támadás és az üzleti e-mailek feltörése.

A NIS2 információbiztonsági követelmények szerinti kötelezettségei a szervezetekre vonatkozóan kifejezetten előírják a kockázatkezelési intézkedéseket, amelyek nem csak az infrastruktúrára, hanem a humán rétegre és az ellátási lánc kockázatára is kiterjednek. Egy, az európai munkaerő többsége által használt üzenetküldő platform, amely megváltoztatja az identitás-ellenőrzési modelljét, pontosan olyan környezeti változás, amely esetén a NIS2 elvárja, hogy egy érett szervezet újraértékelje magát. Még akkor is, ha ez a változás teljes mértékben a szervezet saját infrastruktúráján kívülről ered, és még akkor is, ha a vulnerability scannerekben nem jelenik meg.

Egy üzenetküldő platform változásait a NIS2 kockázati listájában egy állandó bemenetként kell megjeleníteni, nem egyszeri eseményként. Egy milliárd felhasználót számláló platform, amely megváltoztatja az identitásmodelljét, pontosan olyan lényeges környezeti változás, amelynek a felderítésére a NIS követelményei kitérnek.

Lehet a Whatsapp a telefonszám elengedésével lépett egyet előre a GDPR szempontjából, de biztos, hogy IT biztonság szempontjából megnyitott egy kis ablakot. Most már a felhasználók viselkedésén múlik majd, hogy beengednek-e azon valakit.

Megjelent a BitcoinBázis oldalon.

Also read: GTech Network Airdrop Eligibility: Can a Listing Delay Cost You?
WHAT'S YOUR OPINION?
Related News