Американец по имени Дэниел, которому всего 15 лет, утверждает, что он старшеклассник, а в свободное время «взламывает компании с миллиардным оборотом». Недавно он обнаружил атаку типа «0-click», которая раскрывает данные пользователей мессенджеров, даже если те ничего не делают. Эта уязвимость особенно опасна, так как позволяет определить местоположение человека с точностью до нескольких сотен километров.
Проблема скрывается в инфраструктуре Cloudflare — крупнейшей компании, предоставляющей облачные услуги и защищающей интернет-трафик. Если у пользователя установлено уязвимое приложение, такое как Signal, Discord или X, и ему отправляют файл, например фотографию, атакующий может получить данные о сервере Cloudflare, на котором был закэширован файл. На основе этой информации можно определить примерное местоположение пользователя.
Cloudflare управляет серверной сетью в 330 городах и 120 странах. Система автоматически выбирает ближайший сервер для ускорения обработки данных. Этот механизм и позволяет хакерам использовать метаданные файла, чтобы локализовать жертву.
Дэниел поясняет:
«Когда устройство запрашивает данные, Cloudflare использует сервер, ближайший к пользователю. Отправленный файл содержит метаданные, которые указывают на местоположение этого сервера».
Дэниел решил проверить свою теорию. Он создал бота, который отправляет запросы на добавление в друзья пользователям Discord, затем пересылает файл и автоматически анализирует ответные данные. Эксперимент подтвердил, что атака возможна без взаимодействия со стороны жертвы.
После этого он уведомил разработчиков уязвимых приложений. Однако их реакция была неоднозначной. Signal и Discord внесли лишь минимальные изменения, игнорируя предупреждения, а Cloudflare устранила часть проблемы, но заявила, что ответственность за её решение лежит на пользователях.
По словам Дэниела, этот случай демонстрирует, насколько сложной и взаимосвязанной стала цифровая экосистема. Для тех, кто заботится о конфиденциальности или выполняет чувствительную работу, подросток советует:
- Быть информированным о потенциальных угрозах и уязвимостях.
- По возможности избегать использования уязвимых приложений.
- Стараться минимизировать передачу данных через мессенджеры.
«Ни одна система не является полностью защищённой, но правильные меры могут существенно сократить риски и защитить ваши данные», — подытоживает он.
Эта история служит напоминанием о важности кибербезопасности в мире, где технологии стали неотъемлемой частью повседневной жизни.