Учёные из Венского университета выявили серьёзную уязвимость в WhatsApp, позволяющую злоумышленникам массово собирать телефонные номера пользователей через механизм поиска контактов. Используя простую методику перебора номеров через веб-версию сервиса, им удалось получить более 3,5 миллиардов записей, охватывающих большинство пользователей платформы. Об этом сообщает Wired.
Кроме номеров телефонов, исследователи смогли скачать аватары профилей для 57% аккаунтов и публичные тексты профилей для 29%, так как эти данные доступны всем, кто добавляет номер в контакты. Команда обратилась в Meta с этой проблемой в апреле 2025 года и уничтожила собранную информацию. В октябре компания внедрила более строгие ограничения на скорость запросов, чтобы предотвратить подобные инциденты.
Meta заверила, что не обнаружила признаков злонамеренного использования этой техники, а сообщённые данные были "базовыми публичными данными". Однако исследователи подчеркивают, что они не обошли защитные механизмы – их просто не существовало. Другой исследователь уже в 2017 году упоминал о подобной уязвимости, но она осталась без внимания.
Исследование также показало значительное количество аккаунтов с открытой информацией. Например, среди 137 миллионов номеров из США 44% имели открытые фотографии. В Индии, где WhatsApp наиболее популярен, этот показатель достиг 62%.
Исследователи считают, что такие базы данных могут быть интересны для спам-кампаний или правительств стран, где WhatsApp запрещён. Среди собранных данных они обнаружили 2,3 миллиона номеров из Китая и 1,6 миллиона из Мьянмы, что может создать риски для пользователей в этих регионах.
Команда также нашла повторяющиеся криптографические ключи в некоторых аккаунтах – это может указывать на использование неофициальных клиентов WhatsApp, особенно теми, кто занимается мошенничеством.
Исследователи подчеркивают, что основная проблема заключается в использовании телефонного номера как универсального идентификатора. Он не был задуман как приватный или уникальный ключ, однако в WhatsApp именно он служит основой для поиска и подтверждения аккаунтов. Meta уже тестирует систему никнеймов как альтернативу.