Вчені з Віденського університету виявили серйозну уразливість у WhatsApp, що дозволяє зловмисникам збирати телефонні номери користувачів через функцію пошуку контактів. Завдяки простому методу перебору номерів у вебверсії, їм вдалося отримати більше 3,5 мільярдів записів, фактично охоплюючи більшість абонентів платформи. Про це повідомляє Wired.
Крім телефонних номерів, вчені змогли завантажити профільні зображення для 57% акаунтів та публічну інформацію для 29%, адже ці дані доступні всім, хто додає номер до своїх контактів. Команда звернулася до Meta з цим питанням у квітні 2025 року і знищила зібрану інформацію. У жовтні компанія запровадила нові обмеження на швидкість запитів, щоб запобігти подібним інцидентам.
Meta запевнила, що не виявила жодних ознак зловмисного використання цієї техніки, а повідомлені дані були "базовими публічними відомостями". Проте дослідники акцентують, що не обійшли захисні механізми – їх просто не існувало. Інший дослідник вже у 2017 році зазначав наявність подібної уразливості, але вона залишалася без уваги.
Дослідження також виявило велику кількість акаунтів із відкритою інформацією. Наприклад, серед 137 мільйонів номерів зі США, 44% мали доступні фотографії. В Індії, де WhatsApp є найпопулярнішим, цей відсоток сягнув 62%.
На думку дослідників, такі бази даних можуть стати цікавими для спам-кампаній або урядів країн, де WhatsApp заборонено. Серед зібраних даних вони знайшли 2,3 мільйона номерів з Китаю та 1,6 мільйона з М'янми, що може створити загрози для користувачів у цих регіонах.
Команда також виявила повторювані криптографічні ключі у частини акаунтів – це може свідчити про використання неофіційних клієнтів WhatsApp, зокрема для шахрайських дій.
Вчені підкреслюють, що основна проблема полягає в використанні телефонного номера як універсального ідентифікатора. Він не був задуманий як приватний або унікальний ключ, але у WhatsApp саме він слугує основою для пошуку та підтвердження акаунтів. Meta вже тестує систему нікнеймів як альтернативу.