Прорив у безпеці WhatsApp: масове витікання телефонних номерів
Група вчених з Віденського університету виявила серйозну вразливість у WhatsApp, що дозволяла збирати телефонні номери користувачів через механізм пошуку контактів. Завдяки простому перебору номерів через вебінтерфейс, їм вдалося накопичити понад 3,5 мільярдів записів, фактично створивши величезну базу телефонів користувачів платформи. Про це повідомляє Wired.
Крім телефонних номерів, дослідники змогли завантажити аватари профілів для 57% акаунтів та публічні тексти профілів для 29%, оскільки ця інформація була доступна всім, хто добавляв номер у свої контакти. Команда сповістила Meta про цю проблему в квітні 2025 року та знищила зібрану інформацію. У жовтні компанія запровадила більш суворі обмеження на швидкість запитів, щоб закрити доступ до масових перевірок.
Meta зазначила, що не виявила жодних ознак зловмисного використання цієї техніки, а отримані дані були "базовими публічними відомостями". Проте дослідники підкреслюють, що вони не обходили захисні механізми – їх просто не було. Інший дослідник ще в 2017 році описав подібну вразливість, але її не усунули.
Аналіз також виявив велику кількість акаунтів із відкритою інформацією. Наприклад, серед 137 мільйонів номерів зі США 44% мали відкриті фотографії. В Індії, де WhatsApp є найпопулярнішим, цей показник досяг 62%.
Дослідники вважають, що такі великі бази даних можуть бути цікаві для спам-кампаній або для урядів країн, де WhatsApp заборонено. Серед отриманих даних вони знайшли 2,3 мільйона номерів з Китаю та 1,6 мільйона з М'янми, що могло створити ризики для користувачів у цих країнах.
Команда також виявила повторювані криптографічні ключі в частині акаунтів – це може свідчити про використання неофіційних клієнтів WhatsApp, особливо тими, хто займається шахрайством.
Дослідники підсумовують, що основна проблема полягає в використанні телефонного номера як універсального ідентифікатора. Він не був задуманий як приватний або унікальний ключ, але у WhatsApp саме він є основою для пошуку та підтвердження акаунтів. Meta вже тестує систему нікнеймів як альтернативу.
