Уязвимость WhatsApp: массовый сбор телефонных номеров пользователей
Исследователи из Венского университета выявили серьезную уязвимость в WhatsApp, позволяющую массово получать телефонные номера пользователей через механизм поиска контактов. Используя простой перебор номеров в веб-версии, им удалось собрать более 3,5 миллиарда записей, фактически создав базу телефонных номеров большинства пользователей платформы. Об этом сообщает Wired.
Помимо номеров, исследователи получили доступ к аватарам профилей 57% аккаунтов и публичной информации профиля для 29%, так как эти данные WhatsApp показывает всем, кто добавляет номер в свои контакты. В апреле 2025 года команда сообщила об этой проблеме Meta и уничтожила собранную базу. В октябре компания ввела более строгие ограничения на скорость запросов, чтобы предотвратить массовые проверки.
Meta заявила, что не обнаружила доказательства злонамеренного использования этой техники, утверждая, что опубликованные данные являются "базовыми публичными данными". Однако исследователи подчеркивают, что они не обошли никакие механизмы защиты — такие механизмы просто не существовали. Другой исследователь указывал на аналогичную уязвимость еще в 2017 году, но ее так и не устранили.
Анализ также показал значительное количество аккаунтов с открытой информацией. Например, среди 137 миллионов номеров из США 44% имели открытые фотографии. В Индии, где WhatsApp наиболее популярен, этот показатель достиг 62%.
Исследователи считают, что базы данных такого масштаба могут быть интересны для спам-кампаний или правительств стран, где WhatsApp заблокирован. Среди собранных данных они обнаружили 2,3 миллиона номеров из Китая и 1,6 миллиона из Мьянмы, что может создать риски для пользователей в этих странах.
Команда также нашла повторяющиеся криптографические ключи в некоторых аккаунтах, что может свидетельствовать о использовании неофициальных клиентов WhatsApp, особенно среди тех, кто занимается мошенничеством.
Исследователи подводят итог, что главной проблемой является использование телефонного номера в качестве универсального идентификатора. Он не был задуман как приватный или уникальный ключ, но в WhatsApp именно он служит основой для поиска и подтверждения аккаунтов. Meta уже тестирует систему никнеймов как альтернативу.
