Група дослідників з Віденського університету виявила серйозну вразливість у WhatsApp, що дозволяла збирати телефонні номери користувачів через механізм пошуку контактів. Вони змогли отримати понад 3,5 мільярда записів, фактично отримавши доступ до бази телефонів більшості користувачів платформи. Про це повідомляє видання Wired.
Крім телефонних номерів, дослідники отримали доступ до аватарів профілів для 57% акаунтів та публічної інформації для 29%, оскільки WhatsApp робить ці дані доступними для всіх, хто зберігає номер у своїх контактах. Проблему було повідомлено Meta в квітні 2025 року, і зібрану базу було знищено. У жовтні компанія впровадила нові обмеження на швидкість запитів, щоб запобігти масовому збору інформації.
Meta зазначила, що не виявила доказів зловмисного використання цієї техніки, стверджуючи, що отримана інформація є "публічними даними". Проте дослідники підкреслюють, що не обійшли жодних механізмів захисту, оскільки їх просто не існувало. Інший дослідник вказував на подібну уразливість ще в 2017 році, але вона залишалася невиправленою.
Аналіз також виявив велику кількість акаунтів з публічною інформацією. Наприклад, серед 137 мільйонів номерів зі США 44% мали відкриті фотографії. В Індії, де WhatsApp є найпопулярнішим, цей показник досяг 62%.
Дослідники вважають, що бази даних такого масштабу могли бути цікавими для спам-кампаній або для урядів країн, де WhatsApp заблоковано. Серед отриманих даних було виявлено 2,3 мільйона номерів з Китаю та 1,6 мільйона з М'янми, що створювало ризики для користувачів у цих країнах.
Команда також виявила повторювані криптографічні ключі в деяких акаунтах, що може свідчити про використання неофіційних клієнтів WhatsApp, зокрема особами, які займаються шахрайством.
Дослідники підсумовують, що основна проблема полягає в використанні телефонного номера як універсального ідентифікатора. Він не був розроблений як приватний або унікальний ключ, але в WhatsApp саме він служить основою для пошуку та підтвердження акаунтів. Meta вже тестує систему нікнеймів як альтернативу.