Исследователи из Венского университета сообщили о критической уязвимости в WhatsApp, которая позволяла массово собирать телефонные номера пользователей через механизм поиска контактов. Используя простой перебор номеров в веб-версии сервиса, им удалось получить доступ к более чем 3,5 миллиарда записей, что фактически представляет собой базу телефонных номеров большинства пользователей платформы. Об этом сообщает Wired.
Кроме номеров, исследователи смогли загрузить аватары профилей для 57% аккаунтов и публичный текст профиля для 29%, так как эти данные WhatsApp показывает всем, кто добавляет номер в контакты. Команда сообщила о проблеме компании Meta в апреле 2025 года и удалила собранную базу данных. В октябре компания внедрила более строгие ограничения на скорость запросов, чтобы предотвратить массовую проверку.
Meta заявила, что не нашла признаков злонамеренного использования этой техники и что предоставленная информация является "базовыми публичными данными". Однако исследователи подчеркивают, что они не обошли механизмы защиты, так как их просто не было. Подобную уязвимость еще в 2017 году описывал другой исследователь, но она так и не была устранена.
Анализ также показал значительное количество аккаунтов с публичной информацией. Например, среди 137 миллионов номеров из США 44% имели открытые фотографии. В Индии, где WhatsApp наиболее популярен, этот показатель достиг 62%.
Исследователи считают, что базы данных такого масштаба могут быть интересны для спам-кампаний или правительств стран, где WhatsApp заблокирован. Среди полученных данных они обнаружили 2,3 миллиона номеров из Китая и 1,6 миллиона из Мьянмы, что могло создать риски для пользователей в этих странах.
Команда также зафиксировала повторяющиеся криптографические ключи в некоторых аккаунтах, что может свидетельствовать о использовании неофициальных клиентов WhatsApp, особенно теми, кто занимается мошенничеством.
Исследователи подводят итог, что основная проблема заключается в использовании телефонного номера как универсального идентификатора. Он не был задуман как приватный или уникальный ключ, но в WhatsApp именно он служит основой для поиска и подтверждения аккаунтов. Meta уже тестирует систему никнеймов в качестве альтернативы.