Науковці з Віденського університету виявили серйозну уразливість у WhatsApp, яка давала змогу масово збирати телефонні номери користувачів через функцію пошуку контактів. Здійснивши простий перебір номерів у вебверсії платформи, вони змогли отримати доступ до понад 3,5 мільярда записів, зокрема бази телефонів більшості користувачів. Про цю ситуацію повідомляє Wired.
Крім номерів, дослідники змогли завантажити аватари профілів для 57% акаунтів та публічний текст профілю для 29%, оскільки ці дані WhatsApp робить доступними для всіх, хто має номер у контактах. Команда повідомила про виявлену проблему компанії Meta в квітні 2025 року і знищила зібрану інформацію. У жовтні компанія запровадила нові обмеження на швидкість запитів, щоб запобігти масовій перевірці.
Meta підтвердила, що не виявила жодних ознак зловмисного використання цієї техніки, стверджуючи, що надана інформація є "базовими публічними даними". Однак дослідники підкреслюють, що вони не обійшли системи захисту, адже їх просто не було. Раніше, у 2017 році, інший дослідник вже описував подібну уразливість, але вона залишалася невиправленою.
Аналіз також виявив велику кількість акаунтів з публічною інформацією. Наприклад, серед 137 мільйонів номерів зі США 44% мали відкриті фотографії. В Індії, де WhatsApp найбільш популярний, цей показник сягнув 62%.
Дослідники вважають, що бази даних такого масштабу можуть бути цікавими для спам-кампаній або урядів країн, де WhatsApp заблокований. Серед отриманих даних виявилося 2,3 мільйона номерів з Китаю та 1,6 мільйона з М'янми, що створювало ризики для користувачів у цих країнах.
Команда також зафіксувала повторювані криптографічні ключі в деяких акаунтах, що може свідчити про використання неофіційних клієнтів WhatsApp, зокрема тим, хто займається шахрайством.
Дослідники підсумовують, що основна проблема полягає у використанні телефонного номера як універсального ідентифікатора. Він не був задуманий як приватний або унікальний ключ, але у WhatsApp саме він слугує основою для пошуку та підтвердження акаунтів. Meta вже тестує систему нікнеймів як альтернативу.