Уразливість WhatsApp: Масова збірка даних користувачів

Вчені з Віденського університету виявили серйозну уразливість у WhatsApp, що дозволила їм зібрати мільярди телефонних номерів користувачів через функцію пошуку контактів. За допомогою простого перебору номерів через вебінтерфейс, їм вдалося отримати інформацію про понад 3,5 мільярда акаунтів, фактично створивши величезну базу даних телефонів більшості користувачів платформи. Цю інформацію оприлюднив журнал Wired.
Крім телефонних номерів, дослідники змогли завантажити аватари профілів для 57% акаунтів та публічний текст профілю для 29%, оскільки WhatsApp надає ці дані всім, хто додає номер у контакти. Команда повідомила про виявлену проблему компанії Meta в квітні 2025 року та знищила зібрану інформацію. У жовтні компанія запровадила нові обмеження на швидкість запитів, щоб закрити можливості для масових перевірок.
Meta стверджує, що не виявила доказів зловживань цією технікою, а вказана інформація є лише "базовими публічними даними". Однак дослідники підкреслюють, що вони не обходили системи захисту – їх просто не існувало. Подібну уразливість описував інший дослідник ще у 2017 році, але вона не була усунена.
Аналіз також показав, що велика кількість акаунтів містила публічно доступну інформацію. Наприклад, серед 137 мільйонів номерів зі США 44% мали відкриті фото. В Індії, де WhatsApp найбільш популярний, цей показник досяг 62%.
Дослідники вважають, що бази даних такого масштабу можуть бути цікавими для спам-кампаній або урядів країн, де WhatsApp заборонено. Серед зібраних даних вони виявили 2,3 мільйона номерів з Китаю та 1,6 мільйона з М'янми, що могло створити ризики для користувачів у цих країнах.
Команда також знайшла повторювані криптографічні ключі у частини акаунтів – це може свідчити про використання неофіційних клієнтів WhatsApp, зокрема тими, хто займається шахрайством.
Дослідники підсумовують, що основна проблема полягає у використанні телефонного номера як універсального ідентифікатора. Він не був задуманий як приватний або унікальний ключ, але у WhatsApp саме він слугує основою для пошуку та підтвердження акаунтів. Meta вже тестує систему нікнеймів як альтернативу.