Цурење података са WhatsApp-а: Зашто је 3,5 милијарди профила било откривено месецима – Највећи безбедносни пропуст у историји месинџера

Није хаковано, већ изложено: Бечки истраживачи откривају историјску рањивост WhatsApp-а

Оно што су истраживачи безбедности са Универзитета у Бечу и Истраживачког центра SBA открили означава прекретницу у историји безбедности дигиталних комуникација. У периоду од шест месеци, између јесени 2024. и пролећа 2025. године, мали академски тим успео је да састави практично цео глобални кориснички именик WhatsApp-а. Резултат је запањујући: преко 3,5 милијарди налога је идентификовано, каталогизовано и повезано са осетљивим метаподацима.

Ово није био софистицирани хакерски напад који је укључивао заштитне зидове или сложену енкрипцију. „Безбедносна рањивост“ је била намерни избор дизајна: такозвани механизам „Откривање контаката“. Ова функција, чија је сврха била да корисницима понуди погодност тренутног видења ко још у њиховом адресару користи WhatsApp, постала је капија за прикупљање података невиђених размера.

Иако Мета доследно наглашава неповредивост енкрипције садржаја порука од почетка до краја, овај инцидент јасно показује да метаподаци често говоре подједнако експлозивним језиком. Од профилних слика које омогућавају глобалну базу података за препознавање лица до идентификације корисника у репресивним режимима, импликације овог инцидента се протежу далеко изван губитка телефонских бројева. Посебно је алармантна чињеница да се упит за подацима одвијао потпуно неометано месецима преко једноставног, јавног интерфејса, без интервенције безбедносних механизама технолошког гиганта.

Следећи извештај анализира анатомију овог неуспеха, истиче економске и политичке ризике за милијарде корисника и поставља питање: Колико приватности смо спремни да жртвујемо за мало дигиталне погодности?

Када погодност постане безбедносна рањивост: Три милијарде профила као колатерална штета мрежних ефеката

Дигитална комуникациона инфраструктура нашег времена открила је фундаменталну рањивост. Оно што су бечки истраживачи безбедности са Универзитета у Бечу и Истраживачког центра СБА документовали између септембра 2024. и марта 2025. године надмашује сва претходна цурења података по својим размерама. Преко 3,5 милијарди WhatsApp налога – практично цео глобални кориснички директоријум најпопуларнијег светског месинџера – било је ефикасно доступно без ограничења. Ово није класично кршење података у конвенционалном смислу, где су системи хаковани или лозинке украдене, већ структурни квар функције која се узима здраво за готово.

Такозвани Механизам за откривање контаката, та практична аутоматска функција која одмах показује да ли контакт користи WhatsApp када се сачува нови број телефона, показала се као капија за најсвеобухватније пописивање корисника у дигиталној историји. Габријел Гегенхубер и његов тим показали су да ова функција, која је заправо дизајнирана као функција прилагођена корисницима, функционише без икаквих значајних безбедносних баријера. Са стопом упита од преко 100 милиона телефонских бројева на сат, истраживачи су били у могућности да систематски тестирају цео глобално могући опсег бројева без икакве интервенције WhatsApp-ове инфраструктуре.

Оно што је изванредно у вези са овим процесом лежи у његовом техничком поједностављењу. Истраживачима нису били потребни ни софистицирани алати за хаковање, нити су морали да савладају безбедносне системе. Уместо тога, користили су јавно документовани интерфејс намењен за редован рад. Сви захтеви су усмерени преко ИП адресе јединствено додељене Универзитету у Бечу, што значи да је Мета теоретски могла да детектује активност у било ком тренутку. Упркос поређењу приближно 63 милијарде телефонских бројева, ниједан аутоматизовани систем одбране није интервенисао. Тек након што су истраживачи два пута контактирали Мету, и непосредно пре планираног научног објављивања студије, Мета је реаговала техничким контрамерама у октобру 2025. године.

Економија метаподатака: Шта наизглед безопасне информације откривају о милијардама људи

Метина почетна стратегија уверавања фокусирала се на чињеницу да ниједан садржај ћаскања није био угрожен и да је енкрипција од краја до краја остала нетакнута. Међутим, ова комуникациона стратегија је неуспешна и систематски потцењује вредност и значај метаподатака. Оно што су истраживачи успели да издвоје далеко иде даље од једноставних бројева телефона и пружа дубок увид у глобалне обрасце комуникације, понашање корисника и социо-техничке структуре.

Приступљене информације нису укључивале само саме бројеве телефона, већ и јавне криптографске кључеве неопходне за енкрипцију од почетка до краја, прецизне временске ознаке активности налога и број уређаја повезаних са налогом. Приближно 30 процената свих корисника је такође укључило личне податке у текст свог профила, често са осетљивим детаљима о политичким уверењима, верској припадности, сексуалној оријентацији, употреби дрога, послодавцу или директним контакт информацијама као што су имејл адресе. Посебно је забрињавајућа чињеница да су неке од ових адреса имале владине или војне екстензије домена као што су .gov или .mil.

Око 57 процената свих корисника WhatsApp-а широм света имало је своје профилне слике јавно видљивим. У узорку из Северне Америке (позивни број земље +1), истраживачи су преузели 77 милиона профилних слика, што представља количину података од 3,8 терабајта. Аутоматизована анализа препознавања лица идентификовала је људска лица на приближно две трећине ових слика. Ово ствара техничку могућност повезивања лица са бројевима телефона, што има далекосежне импликације за праћење, надзор и циљане нападе.

Агрегирана анализа података такође је открила макроекономски релевантне увиде у глобална технолошка тржишта. Светска дистрибуција између Андроид и иОС уређаја је 81 према 19 процената, што не само да пружа информације о куповној моћи и преференцијама брендова, већ нуди и стратешке увиде за конкуренте и инвеститоре. Истраживачи су били у могућности да квантификују регионалне разлике у понашању у вези са приватношћу података, као што је које популације су склоније да користе јавне слике профила, и да стекну увид у активности корисника, раст налога и стопе одлива у различитим земљама.

Налази о коришћењу WhatsApp-а у земљама са званичним забранама су посебно откривајући. У Кини, где је платформа званично забрањена, истраживачи су ипак идентификовали 2,3 милиона активних налога. У Ирану је број корисника порастао са 60 на 67 милиона, у Мјанмару је пронађено 1,6 милиона налога, а чак и у Северној Кореји откривено је пет активних налога. Ове информације нису релевантне само за технолошку политику, већ би могле представљати и егзистенцијалне претње корисницима у репресивним режимима ако ауторитарни режими добију приступ овим подацима.

Криптографске аномалије и сива економија дигиталних превара

Још једно технички веома релевантно откриће тиче се поновне употребе криптографских кључева. Истраживачи су открили 2,3 милиона јавних кључева повезаних са више уређаја или различитим бројевима телефона. Иако се неке од ових аномалија могу објаснити легитимним активностима као што су промене бројева или преноси налога, упечатљиви обрасци указују на систематску злоупотребу. Кластери идентичних криптографских кључева на бројним налозима пронађени су, посебно у Мјанмару и Нигерији, што указује на организоване мреже превара са поделом рада.

Ови налази пружају дубок увид у економију дигиталног криминала. Романтичне преваре, преваре са криптовалутама и лажни позиви подршци очигледно функционишу користећи заједничку техничку инфраструктуру, што указује на индустријски организоване машине за преваре. Повећање ефикасности постигнуто кроз заједничке идентитете и кључне инфраструктуре чини ове операције економски скалабилним. Штавише, поновна употреба кључева представља значајне безбедносне ризике за саму енкрипцију, јер погрешне конфигурације или коришћење незваничних клијената могу довести до деанонимизације, крађе идентитета или чак пресретања порука.

Каталог ризика: Од персонализованих напада до државне репресије

Непосредни и индиректни ризици овог цурења података далеко превазилазе обим типичних безбедносних инцидената. Док традиционална кршења података често остају ограничена на ограничене групе корисника, универзално набрајање ствара потпуно нову површину за нападе криминалних и државних актера.

Персонализовани фишинг и напади друштвеним инжењерингом су међу најочигледнијим сценаријима. Комбинација броја телефона, слике профила, личних података у пољу за информације и повезаних имејл адреса или линкова ка друштвеним мрежама омогућава веома индивидуализоване покушаје преваре. Док се масовно дистрибуиране фишинг имејлове често препознају по генеричким формулацијама, информације које су сада доступне омогућавају кампање „спеар-фишинга“ које користе личне податке, стварне слике профила и информације специфичне за контекст. Према студијама, стопа успеха таквих циљаних напада је преко 40 процената, у поређењу са само неколико процената код стандардизованих кампања.

Крађа идентитета и доксинг представљају додатне озбиљне претње. Повезивање слика лица са бројевима телефона омогућава злонамерним актерима да идентификују и прате појединце у јавним просторима. У комбинацији са другим јавно доступним изворима података, могу се креирати свеобухватни профили који се могу користити за уцену, узнемиравање или циљано дискредитовање. Посебно рањиве групе, као што су новинари, активисти, мањине или људи на истакнутим позицијама, су изложене повећаном ризику.

У земљама са ауторитарним режимима где је WhatsApp званично забрањен, идентификација корисника може имати правне или чак опасне по живот последице. Милиони документованих корисника у Кини, Ирану или Мјанмару могли би бити изложени систематском прогону ако држава добије приступ овим подацима. Анализирање образаца комуникације, друштвених мрежа и профила кретања омогућава репресивним режимима да мапирају и превентивно демонтирају опозиционе мреже.

Праћење и ухапшење су значајно олакшани комбинацијом броја телефона, јавног профила и техничких метаподатака као што су број уређаја и интензитет коришћења. Временске ознаке промена профила, информације о променама уређаја и стабилни ИД-ови налога омогућавају креирање детаљних профила понашања. Починиоци породичног насиља, опсесивни ухађивачи или организовани криминал могу користити ове информације за праћење жртава, анализу образаца кретања и идентификацију тачака приступа.

Широко распрострањена доступност важећих, активних бројева телефона значајно повећава скалабилност спам и бот операција. Док су се претходне спам кампање ослањале на купљене или насумично генерисане листе бројева, од којих су многе неважеће или неактивне, цурење података омогућава циљано слање порука искључиво активним корисницима WhatsApp-а. Додатне информације о уређају такође омогућавају оптимизацију стратегија напада на основу платформе и техничке конфигурације.

Компаније и организације се суочавају са специфичним ризицима у погледу усклађености. Откривање званичних телефонских бројева, посебно оних запослених са приступом осетљивим информацијама или системима, повећава површину за нападе корпоративне шпијунаже и циљане инфилтрације. Владини домени у опсегу .gov или .mil указују на државне службенике, припаднике обезбеђења или војно особље, који представљају веома атрактивне мете за актере које спонзорише држава или организовани криминал.

Одложени одговор: Зашто је Мети требало годину дана да делује

Хронологија догађаја покреће фундаментална питања о безбедносној култури и одређивању приоритета компаније Мета. Бечки истраживачи су открили рањивост већ у јесен 2024. године и први пут су контактирали компанију Мета отприлике у исто време. Званично обавештење је поднето званичном програму компаније за награде за грешке у априлу 2025. године. Међутим, ефикасне техничке контрамере, као што је ограничавање брзине упућивања ради спречавања масовних упита, нису примењене до октобра 2025. године, непосредно пре планираног научног објављивања резултата студије.

Ово временско кашњење је проблематично из више перспектива. Прво, открива слабости у управљању реаговањем на инциденте корпорације која се позиционира као лидер у безбедносним питањима. Чињеница да су милијарде захтева поднете током месеци од академске институције са јавном ИП адресом без икаквих аутоматизованих система који би подигли аларм указује на недовољне могућности праћења.

Друго, поставља се питање у вези са балансирањем интереса унутар компаније. Ограничавање брзине и строжа ограничења приступа могу угрозити једноставност коришћења и потенцијално довести до жалби ако се отежају легитимни случајеви употребе, као што је истовремено додавање више контаката. Дуго време одзива могло би указивати на то да су одлуке о управљању производима надмашиле безбедносне проблеме све док није било непосредног притиска јавности.

Треће, ова епизода истиче ефикасност програма за откривање грешака. Мета редовно наглашава да има један од најиздашнијих програма у индустрији, који је само у 2025. години истраживачима поделио преко четири милиона долара. Међутим, одложени одговор на налаз од историјског значаја покреће сумње у ефикасност интерних процеса између истраживачких тимова за безбедност и развоја производа.

Нитин Гупта, потпредседник инжењеринга у WhatsApp-у, нагласио је у званичним изјавама да је сарадња са истраживачима омогућила идентификацију нових вектора напада и тестирање система против скрејпинга. Ова презентација сугерише да је рањивост послужила као тест случај за заштитне мере које су већ у развоју. Критичари, међутим, напомињу да је ово више ретроспективна рационализација, будући да су ефикасне мере заштите од набрајања корисника годинама стандардна пракса у безбедним API дизајнима.

Компаративна перспектива: Како други програми за поруке поступају са откривањем контаката

Структурни проблеми са механизмом за откривање контаката никако нису специфични за WhatsApp. Готово сви модерни програми за размену порука суочавају се са напетошћу између једноставности коришћења и приватности података. Међутим, техничка решења се знатно разликују у својој безбедносној архитектури.

Сигнал, често наведен као златни стандард за безбедну комуникацију, већ неколико година користи криптографску технику под називом „Откривање приватних контаката“. То подразумева претварање броја телефона корисника у криптографски шифроване хешеве пре него што их пошаље серверу. Сервер затим може да упореди ове хешеве са својом базом података без познавања стварних бројева телефона. Поред тога, Сигнал имплементира функцију „Запечаћени пошиљалац“, која крије ко комуницира са ким, чак и од оператера сервера. Ова архитектура чини масовно набрајање технички далеко сложенијим, иако не и потпуно немогућим.

Телеграм нуди ограничено откривање контаката и више се ослања на корисничка имена као примарни метод идентификације. Међутим, у подразумеваном режиму, Телеграм чува поруке нешифроване на својим серверима, што уводи друге безбедносне ризике. Енкрипција од почетка до краја у Телеграму је ограничена на опциону функцију Тајни ћаскања и није подразумевано подешавање.

Threema, месинџер развијен у Швајцарској са снажним фокусом на приватност података, потпуно елиминише потребу за телефонским бројевима и ради са анонимним идентификаторима. Откривање контаката је опционо и одвија се локално на уређају, без преноса података из адресара на сервере. Овај приступ максимизира приватност, али утиче на једноставност коришћења и омета раст мреже.

Различите архитектуре одражавају различите пословне моделе и приоритете корисника. WhatsApp се историјски фокусирао на максималну једноставност коришћења и брз раст мреже, што фаворизује агресивне механизме откривања контаката. Signal се позиционира као алтернатива која прво ставља приватност на прво место, оправдавајући своју већу техничку сложеност. Telegram тежи средњем путу, док Threema служи ниши за кориснике који воде рачуна о приватности и спремни су да прихвате неке компромисе у погледу практичности.

Бечка студија показује да је имплементацији WhatsApp-а недостајале чак и основне мере безбедности, као што је ефективно ограничавање брзине, све до октобра 2025. године. То нису изузетно сложени криптографски изазови, већ стандардне процедуре безбедности API-ја које су успостављене деценијама. Ова разлика између онога што је технички могуће и онога што је заправо имплементирано покреће питања о безбедносним приоритетима унутар мета-корпорације.

Наша стручност у САД у развоју пословања, продаји и маркетингу - Слика: Xpert.Digital

Фокус индустрије: B2B, дигитализација (од AI до XR), машинство, логистика, обновљиви извори енергије и индустрија

Више информација овде:

• Експертски пословни центар

Тематски центар који нуди увиде и стручност:

• Платформа знања која покрива глобалне и регионалне економије, иновације и трендове специфичне за индустрију
• Збирка анализа, увида и основних информација из наших кључних области фокуса
• Место за стручност и информације о актуелним дешавањима у пословању и технологији
• Чвориште за компаније које траже информације о тржиштима, дигитализацији и иновацијама у индустрији

Прорачун економске штете: Колико кошта цурење података историјских димензија?

Новчана процена штете коју је проузроковала повреда података прати вишеструке логике прорачуна које обухватају директне, индиректне и системске ефекте. Студије Института за безбедност IBM процењују просечан трошак повреде података у Немачкој на приближно 3,87 милиона евра у 2025. години, при чему се ова цифра односи на инциденте средње величине. Просечни глобални трошкови износе 4,44 милиона долара, док се компаније у САД суочавају са просеком од 10 милиона долара по инциденту.

Ове бројке се заснивају на инцидентима који обично погађају стотине хиљада до неколико милиона корисника. Кршење података на WhatsApp-у превазилази ове димензије за неколико редова величине. Са 3,5 милијарди погођених налога и чак конзервативном проценом просечне штете по кориснику од само једног евра, укупна штета би већ била у милијардама. Међутим, стварне процене штете морају бити нијансираније.

За кориснике у западним демократијама са функционалном владавином права, непосредна штета може изгледати мала, под условом да не постану жртве накнадних напада. Међутим, студије показују да приближно 25 процената оних који су погођени кршењем безбедности података постају жртве покушаја фишинга у наредних дванаест месеци. Од њих, око десет процената насједне на преваре, што резултира просечним финансијским губицима од неколико стотина до хиљаду евра. Екстраполирано на глобалну базу корисника, ово се претвара у потенцијалну штету у средњим десетинама милијарди евра.

За рањиве групе у ауторитарним државама, последице могу бити егзистенцијалне. Ако идентификација корисника WhatsApp-а у земљама попут Кине, Ирана или Мјанмара доведе до прогона, затвора или чак физичког насиља, штету је практично немогуће квантификовати у новчаном смислу. Чак и под претпоставком да се само један проценат корисника идентификованих у овим земљама суочава са озбиљним последицама, говоримо о стотинама хиљада погођених људи.

Компаније сносе трошкове због неопходних безбедносних мера. Организације морају да обучавају потенцијално угрожене запослене, спроводе кампање за подизање свести и имплементирају техничку одбрану. У великим организацијама са хиљадама запослених, ови трошкови могу брзо достићи шестоцифрене износе. Случајеви у којима запослени са приступом осетљивим системима или информацијама постају посебно рањиви на нападе су посебно критични.

Сама Мета се суочава са значајним регулаторним ризицима. Ирска комисија за заштиту података, која надгледа Метино европско пословање, има историју изрицања рекордних казни. WhatsApp је кажњен са 225 милиона евра 2021. године због непрозирних пракси приватности података. Мета је морала да плати казне у укупном износу од преко 1,8 милијарди евра због разних прекршаја на Фејсбуку и Инстаграму. Тренутно кршење безбедности података могло би довести до даљих санкција, с обзиром на то да Општа уредба о заштити података (GDPR) прописује казне до четири процента глобалног годишњег промета. С обзиром на Метин приход од приближно 134 милијарде долара у 2024. години, теоретска максимална казна би премашила 5 милијарди долара.

Штета по репутацију и одлив корисника представљају додатне економске ризике. Иако је WhatsApp релативно отпоран на ерозију корисника због своје доминантне тржишне позиције и мрежних ефеката, сегменти који воде рачуна о приватности могли би да пређу на алтернативе попут Signal-а или Threema-е. Чак би и пад од само једног процента у корисничкој бази утицао на 35 милиона корисника, што би имало значајан утицај на приходе од оглашавања и стратешку тржишну позицију.

Трошкови имплементације ефикасних заштитних мера су занемарљиви у поређењу са потенцијалном штетом. Ограничавање брзине, побољшана безбедност API-ја и унапређени системи за праћење могли су се постићи уз инвестиције у малим једноцифреним милионима. Чињеница да ове мере нису превентивно спроведене указује на организациони неуспех и погрешну расподелу ресурса.

Правни аспекти: кршење Опште уредбе о заштити података и грађанска одговорност

Процена заштите података у овом инциденту покреће сложена питања. Иако технички није у питању класична хакерска атака у којој су пробијени безбедносни системи, она ипак представља кршење основних принципа Опште уредбе о заштити података (GDPR).

Члан 5. Опште уредбе о заштити података (GDPR) захтева минимизирање података и ограничавање сврхе. Конфигурација интерфејса за откривање контаката (Contact Discovery), која је омогућавала неограничене масовне упите без ефективних ограничења брзине, противречи принципу да се лични подаци могу учинити доступним само у неопходној мери. Члан 32. GDPR-а обавезује контролоре да примене одговарајуће техничке и организационе мере како би се обезбедио ниво безбедности који одговара ризику. Одсуство основних заштитних мера против аутоматизованих масовних упита током периода од неколико година може се сматрати кршењем ове обавезе.

У неколико пресуда које се тичу инцидената скрејпинга са Фејсбука, Немачки савезни суд правде је утврдио да оператери платформи деле одговорност ако неадекватне техничке мере омогућавају масовно издвајање корисничких података. Чак и ако треће стране обављају стварне активности скрејпинга, Мета може бити одговорна као одговорна страна ако архитектура платформе омогућава такве активности.

Грађански захтеви за накнаду штете према члану 82. Опште уредбе о заштити података захтевају да су субјекти података претрпели материјалну или нематеријално штету. Иако се материјална штета може захтевати само у случајевима стварних последичних губитака, немачки судови су у неколико пресуда признали да чак и губитак контроле над сопственим подацима може представљати нематеријално штету. Износ досуђене надокнаде значајно варира, при чему судови обично досуђују износе у распону од неколико стотина до неколико хиљада евра по случају.

Са 3,5 милијарди потенцијално погођених појединаца, масовне тужбе би теоретски могле да настану у размерама које би угрозиле чак и постојање Мете. У пракси, неколико фактора ограничава стварни обим парница. Прво, тужиоци морају појединачно да докажу да су њихови подаци угрожени и да су претрпели конкретну штету. Друго, судски поступци захтевају знатно време и трошкове, што одвраћа многе кориснике. Треће, колективне тужбе функционишу под рестриктивнијим условима у Европи него у САД, где су чешће.

Ипак, након претходних цурења података са Фејсбука, као што је инцидент са крађом података из 2021. године који је погодио 530 милиона корисника, организације за заштиту потрошача су формиране у неколико европских земаља и припремају колективне тужбе. Аустријска организација за заштиту података Нојб, коју предводи Макс Шремс, већ је неколико пута успешно тужила Мету и могла би да се активира и у овом случају.

За кориснике у Немачкој, агенције за заштиту потрошача или специјализоване адвокатске канцеларије које организују тужбе по основу Опште уредбе о заштити података као колективне тужбе су добра опција. Шансе за успех таквих тужби су се побољшале захваљујући недавним пресудама Савезног суда правде, који је генерално признао да оператери платформи могу бити одговорни за неадекватне мере заштите података.

Техничке лекције: Шта је безбедносна архитектура могла да спречи

Са техничке тачке гледишта, цурење података открива фундаменталне недостатке у безбедносној архитектури који су се могли избећи уз установљене најбоље праксе. Ограничавање брзине, тј. ограничавање броја могућих захтева по јединици времена и ИП адресе, стандардна је карактеристика безбедних АПИ дизајна деценијама. Чињеница да је WhatsApp месецима прихватао 100 милиона захтева на сат из једног извора без интервенције тешко је схватљива са безбедносне тачке гледишта.

CAPTCHA системи или други механизми за одговор на изазов би значајно отежали аутоматизоване масовне упите. Иако такви системи могу негативно утицати на употребљивост, њихова имплементација тек након што се прекораче одређени прагови била би прихватљив компромис. Многе платформе користе адаптивне системе који остају невидљиви током нормалне употребе, али интервенишу када се открију сумњиви обрасци активности.

Технике „honeypot“ могле су учинити активност истраживача откривном у раној фази. Ове технике укључују намерно интегрисање неважећих или посебно означених бројева у систем. Ако се ови појаве у упитима, то указује на систематске покушаје и грешке и може покренути аларм. Такве методе се рутински користе у сајбер безбедности за откривање аутоматизованих напада.

Криптографски безбедне методе откривања контаката, као што је Signal-ово откривање приватних контаката, значајно би отежале набрајање контаката. Иако ове технике захтевају већи напор у имплементацији и рачунарску снагу, оне нуде знатно робуснију заштиту. Чињеница да WhatsApp, са техничким и финансијским ресурсима компаније Meta, није имплементирао такве методе указује на стратешке одлуке које су дале приоритет једноставности коришћења и расту у односу на максималну приватност података.

Детекција аномалија помоћу машинског учења могла је да идентификује необичне обрасце приступа бечких истраживача. Модерни центри за безбедносне операције користе системе засноване на вештачкој интелигенцији који аутоматски детектују активности које одступају од уобичајених образаца коришћења и ескалирају их на даљу анализу. Месеци неоткривене активности указују на то да WhatsApp-ова инфраструктура за праћење или није била конфигурисана са довољном осетљивошћу или да генерисана упозорења нису била правилно приоритетизована.

Одложени одговор на извештаје истраживача сугерише да организациони процеси за руковање безбедносним упозорењима такође захтевају оптимизацију. Програми за откривање грешака су ефикасни само колико и интерни токови рада који преводе налазе истраживања у конкретне промене производа. Чињеница да су ефикасне мере спроведене тек непосредно пре објављивања научних радова указује на то да је јавни притисак, а не интринзично давање приоритета безбедности, био примарна мотивација за акцију.

Друштвени утицаји: надзорни капитализам и дигитални односи моћи

Цурење података са WhatsApp-а је симптом фундаменталних тензија у дигиталном капитализму. Платформе попут WhatsApp-а функционишу у оквиру пословног модела заснованог на мрежним ефектима, практичности за кориснике и експлоатацији података. Што платформа свеобухватније прикупља информације о корисницима и њиховим везама, то постаје вреднија за оглашиваче и стратешку анализу. Механизми за откривање контаката нису само карактеристике услуга, већ и алати за сажимање друштвеног графа, који се заузврат може монетизовати.

Доминација WhatsApp-а на тржишту, са 3,5 милијарди корисника, ствара де факто монополе, остављајући корисницима мало алтернатива ако желе да учествују у дигиталном друштвеном животу. Ови ефекти закључавања смањују притисак на оператере платформи да примене највише стандарде заштите података, јер одлив корисника остаје ограничен чак и након озбиљних инцидената. Економско образложење се помера са конкуренције засноване на квалитету на максимизирање мрежних ефеката.

Такви инциденти погоршавају глобалну неједнакост у погледу права на заштиту података и њиховог спровођења. Док корисници у Европској унији уживају релативно снажна права у складу са Општом уредбом о заштити података (GDPR), а надзорни органи имају овлашћења за санкционисање, корисници у многим другим регионима имају знатно слабију заштиту. Ово је посебно проблематично у ауторитарним државама, где сами државни актери имају интерес за свеобухватни надзор и могу да врше притисак на оператере платформи да одобре приступ корисничким подацима.

Могућност идентификације практично свакога ко има приступ интернету по лицу и повезивања тог броја телефона означава квалитативни скок у могућностима надзора. У комбинацији са другим изворима података као што су подаци о локацији, понашање при куповини и онлајн активности, ово ствара комплетне профиле који нуде историјски невиђене могућности за контролу и манипулацију. Clearview AI, компанија која је изградила базу података за препознавање лица са преко 60 милијарди слика, показује како се такве технологије већ комерцијално користе, упркос огромним забринутостима за приватност података и казнама у неколико земаља.

Импликације по демократску теорију су далекосежне. Ако је сваки јавни покрет потенцијално идентификован и пратив, темељ за анонимно изражавање мишљења и политички ангажман се еродира. Узбуњивачи, истраживачки новинари и активисти зависе од анонимности да би радили без ризика од репресије. Нормализација свеобухватне идентификованости угрожава ове безбедне просторе.

Регулаторне последице: Да ли су нам потребна строжа правила за платформе?

Овај инцидент поставља питање да ли је постојећи регулаторни оквир довољан или су потребне фундаменталне реформе. Иако је GDPR успоставио релативно висок ниво заштите, његова примена је често реактивна и одложена. Казне се обично изричу тек годинама након инцидената, када је штета већ настала. Превентивни механизми који решавају структурне безбедносне недостатке пре него што дође до цурења података нису довољно развијени.

Закон о дигиталним услугама и Закон о дигиталним тржиштима Европске уније имају за циљ строже регулисање моћи великих платформи и пооштравање безбедносних стандарда. Међутим, ови прописи се првенствено фокусирају на питања модерирања садржаја и конкуренције, а не на фундаменталне безбедносне архитектуре. Њихово проширење како би укључили обавезне безбедносне ревизије, минималне стандарде награде за грешке и захтеве за откривање безбедносних рањивости могло би бити корисно.

Неки стручњаци позивају на увођење неке врсте TÜV-а (Удружења за техничку инспекцију) за дигиталне платформе, где независне организације за тестирање редовно процењују и сертификују безбедносне архитектуре. Ово би омогућило превентивно праћење и створило транспарентност. Критичари, међутим, указују на огромно бирократско оптерећење и ризик од гушења иновација, посебно за мање добављаче који тешко могу да приуште скупе процедуре сертификације.

Строжија правила о одговорности која стављају већу одговорност на оператере платформи могла би створити економске подстицаје за побољшање безбедности. Ако компаније знају да се суочавају са значајним казнама и захтевима за накнаду штете ако су њихове мере безбедности доказиво неадекватне, мотивација за превентивна улагања се повећава. Међутим, мора се одржати равнотежа како би се избегло кажњавање сваког преосталог ризика, што би технолошки развој учинило практично немогућим.

Перспектива корисника: Шта појединци могу да ураде?

За појединачне кориснике, поставља се питање практичних заштитних мера. Иако се структурни проблеми могу решити само на нивоу платформе или регулаторног нивоа, и даље постоје опције за минимизирање ризика.

Ограничавање подешавања приватности је најочигледнији корак. WhatsApp нуди опције за ограничавање видљивости ваше слике профила, текста „О нама“ и статуса „последњи пут виђен“ само на контакте или чак ни на кога. Иако ово ограничава функционалност, значајно смањује количину информација доступних спољним особама. Коришћење псеудонима или генеричких информација у тексту вашег профила минимизира могућност идентификације.

Коришћење одвојених телефонских бројева за различите сврхе може омогућити сегментацију. Неки корисници одржавају примарни број за блиске контакте и секундарни за мање поуздане везе. Виртуелни бројеви или претплаћене СИМ картице нуде додатне опције анонимизације, иако WhatsApp-ови процеси верификације отежавају ове стратегије.

Прелазак на алтернативе које више поштују приватност, попут Signal-а или Threema-е, је опција за кориснике који су спремни да жртвују мрежне ефекте и погодности за већу приватност. Међутим, то захтева миграцију и њихових контаката, што у пракси представља значајну препреку. Многи корисници стога на крају користе више месинџера истовремено, повећавајући фрагментацију и сложеност.

Повећана будност против покушаја фишинга и сумњивих контаката је посебно важна након кршења безбедности података. Корисници треба да буду опрезни са неочекиваним порукама, чак и од наизглед познатих контаката, и не треба да отварају сумњиве линкове или датотеке. Омогућавање двофакторске аутентификације где год је то могуће отежава преузимање налога, чак и ако су бројеви телефона угрожени.

Правне опције попут захтева за одштету према GDPR-у требало би да истраже они који су погођени, посебно ако су претрпели конкретну штету као што је крађа идентитета или узнемиравање. Специјализоване адвокатске канцеларије и организације за заштиту потрошача све више нуде подршку у таквим поступцима.

Системски квар или жалосни изоловани инцидент?

Кршење података на WhatsApp-у из 2024/2025. године је много више од техничке грешке. Оно открива структурне тензије између пословних модела оптимизованих за погодност корисника и раст мреже, и захтева за робусном безбедношћу података. Чињеница да основна безбедносна мера, попут ефективног ограничавања брзине, није примењена годинама, сугерише систематске одлуке о одређивању приоритета где је безбедност била по страни.

Економска штета је огромна, мада ју је тешко прецизно квантификовати. Директни трошкови за кориснике због накнадних превара, индиректни трошкови за компаније због неопходних заштитних мера и регулаторних казни могли би износити неколико милијарди евра. Међутим, највећа штета лежи у ерозији поверења у дигиталне комуникационе инфраструктуре и демонстрацији колико су рањиве чак и највеће платформе.

Регулаторни одговори ће вероватно уследити, иако са кашњењем типичним за законодавне процесе. Строжији механизми ревизије, проширена правила о одговорности и обавезни безбедносни стандарди могли би обликовати регулаторни пејзаж у наредним годинама. Остаје да се види да ли ће ово бити довољно да се спрече слични инциденти.

За кориснике, овај инцидент служи као непријатан подсетник да су дигитална погодност и свеобухватна приватност често у супротности. На крају крајева, избор једне платформе у односу на другу је балансирање између мрежних ефеката, погодности и безбедности. Информисана база корисника која разуме ове компромисе и свесно се њима креће је неопходна за отпоран дигитални простор.

Бечки истраживачи су својим одговорним откривањем информација дали важан допринос безбедности дигиталног екосистема. Међутим, чињеница да је било потребно независно академско истраживање да би се открила рањивост ових размера покреће питања о интерним безбедносним процесима компаније Мета. Програми за откривање грешака су важни и вредни, али не замењују систематске безбедносне архитектуре и корпоративну културу која заштиту података схвата као основни принцип дизајна.

Историја дигиталне комуникације је историја сталних тензија између иновација, раста и безбедности. Кршење података на WhatsApp-у је најновији у низу инцидената који показују да технолошки напредак без одговарајућих безбедносних стандарда носи значајне ризике. Лекције из овог случаја требало би да подстакну не само Мету, већ целу технолошку индустрију да преиспита свој приступ: Одрживи успех захтева не само раст броја корисника, већ и чврсто поверење, које се може стећи само доследном заштитом приватности.

☑️ Наш пословни језик је енглески или немачки

☑️ НОВО: Преписка на вашем матерњем језику!

Konrad Wolfenstein

Ја и мој тим смо срећни што вам можемо бити на располагању као ваш лични саветник.

Можете ме контактирати попуњавањем контакт форме овде или једноставно позовите на +49 89 89 674 804 ( Минхен) . Моја имејл адреса је: [email protected]

Радујем се нашем заједничком пројекту.

☑️ Подршка малим и средњим предузећима у стратегији, консултацијама, планирању и имплементацији

☑️ Креирање или реорганизација дигиталне стратегије и дигитализације

☑️ Проширење и оптимизација међународних продајних процеса

☑️ Глобалне и дигиталне B2B платформе за трговање

☑️ Пионирски развој пословања / Маркетинг / Односи с јавношћу / Сајмови

Искористите предности Xpert.Digital-овог опсежног, петоструког стручног знања у свеобухватном пакету услуга | Истраживање и развој, XR, односи с јавношћу и оптимизација дигиталне видљивости - Слика: Xpert.Digital

Xpert.Digital поседује дубинско знање у различитим индустријама. То нам омогућава да развијемо прилагођене стратегије прецизно усклађене са захтевима и изазовима вашег специфичног тржишног сегмента. Континуираном анализом тржишних трендова и праћењем развоја у индустрији, можемо деловати проактивно и понудити иновативна решења. Комбинација искуства и стручности ствара додатну вредност и пружа нашим клијентима одлучујућу конкурентску предност.

Више информација овде:

• Искористите предности 5 области стручности компаније Xpert.Digital у једном пакету – већ од 500 евра месечно