Группа исследователей из Венского университета выявила серьезную уязвимость в WhatsApp, позволяющую массово собирать телефонные номера пользователей через механизм поиска контактов. Им удалось собрать более 3,5 миллиардов записей, фактически получив доступ к базе телефонных номеров большинства пользователей платформы. Об этом сообщает Wired.
Помимо телефонных номеров, исследователи получили доступ к аватарам профилей для 57% аккаунтов и публичной информации для 29%, так как WhatsApp делает эти данные доступными для всех, кто добавляет номер в свои контакты. Проблема была сообщена Meta в апреле 2025 года, и собранная база была уничтожена. В октябре компания внедрила более жесткие ограничения на скорость запросов, чтобы предотвратить массовый сбор данных.
Meta заявила, что не обнаружила признаков злонамеренного использования этой техники, утверждая, что полученная информация является "публичными данными". Однако исследователи подчеркивают, что они не обошли никаких механизмов защиты — таких механизмов просто не существовало. Другой исследователь указал на аналогичную уязвимость еще в 2017 году, но она осталась неустраненной.
Анализ также выявил значительное количество аккаунтов с публичной информацией. Например, среди 137 миллионов номеров из США 44% имели открытые фотографии. В Индии, где WhatsApp наиболее популярен, этот показатель достиг 62%.
Исследователи считают, что базы данных такого масштаба могут быть интересны для спам-кампаний или правительств стран, где WhatsApp заблокирован. Среди полученных данных они обнаружили 2,3 миллиона номеров из Китая и 1,6 миллиона из Мьянмы, что может создать риски для пользователей в этих странах.
Команда также обнаружила повторяющиеся криптографические ключи в некоторых аккаунтах, что может свидетельствовать о использовании неофициальных клиентов WhatsApp, в частности, людьми, занимающимися мошенничеством.
Исследователи подводят итог, что главная проблема заключается в использовании телефонного номера как универсального идентификатора. Он не был задуман как приватный или уникальный ключ, но в WhatsApp именно он служит основой для поиска и подтверждения аккаунтов. Meta уже тестирует систему никнеймов как альтернативу.