Вразливість WhatsApp: масове збирання телефонних номерів
Вчені з Віденського університету виявили серйозну вразливість у WhatsApp, що дозволяла масово отримувати телефонні номери користувачів через механізм пошуку контактів. Використовуючи простий перебір номерів у вебверсії, їм вдалося зібрати понад 3,5 мільярда записів, фактично зібравши базу телефонних номерів більшості користувачів платформи. Про це повідомляє Wired.
В доповнення до номерів, дослідники отримали доступ до аватарів профілів 57% акаунтів та публічної інформації профілю для 29%, оскільки ці дані WhatsApp робить доступними для всіх, хто додає номер у свої контакти. У квітні 2025 року команда повідомила про цю проблему Meta та знищила зібрану базу. У жовтні компанія запровадила більш суворі обмеження на швидкість запитів, щоб запобігти масовим перевіркам.
Meta заявила, що не виявила доказів зловмисного використання цієї техніки, стверджуючи, що опубліковані дані є "базовими публічними даними". Однак дослідники підкреслюють, що не порушували механізми захисту, оскільки їх просто не існувало. Інший дослідник вказував на подібну уразливість ще у 2017 році, але її не усунули.
Аналіз також виявив велику кількість акаунтів із відкритою інформацією. Наприклад, серед 137 мільйонів номерів зі США 44% мали публічні фотографії. В Індії, де WhatsApp є найпопулярнішим, цей показник сягнув 62%.
Дослідники вважають, що бази даних такого масштабу можуть бути цікавими для спам-кампаній або урядів країн, де WhatsApp заборонено. Серед зібраних даних вони виявили 2,3 мільйона номерів з Китаю та 1,6 мільйона з М'янми, що може створити ризики для користувачів у цих країнах.
Команда також виявила повторювані криптографічні ключі в частини акаунтів, що може свідчити про використання неофіційних клієнтів WhatsApp, зокрема серед тих, хто займається шахрайством.
Дослідники підсумовують, що основною проблемою є використання телефонного номера як універсального ідентифікатора. Він не був задуманий як приватний або унікальний ключ, але у WhatsApp саме він служить основою для пошуку та підтвердження акаунтів. Meta вже тестує систему нікнеймів як альтернативу.
