Исследователи из Венского университета выявили серьезную уязвимость в WhatsApp, которая позволяла массово собирать телефонные номера пользователей через механизм поиска контактов. Проводя простую переборку номеров через веб-версию платформы, они смогли получить доступ к более чем 3,5 млрд записей, представляющих собой значительную часть пользовательской базы платформы. Об этом сообщает Wired.
Помимо телефонных номеров, исследователи смогли загрузить аватары профилей для 57% аккаунтов и публичный текст профиля для 29%, так как эти данные доступны всем, кто добавил номер в контакты. Команда сообщила об этой проблеме Meta в апреле 2025 года и удалила собранную базу данных. В октябре компания ввела более строгие ограничения на скорость запросов, чтобы предотвратить массовый сбор данных.
Meta заявила, что не обнаружила признаков злонамеренного использования этой уязвимости, назвав полученные данные "базовыми публичными данными". Однако исследователи подчеркивают, что они не обходили никаких механизмов защиты, поскольку такие механизмы просто отсутствовали. Подобная уязвимость уже была описана другим исследователем в 2017 году, но она осталась без внимания.
Анализ также показал значительное количество аккаунтов с публичной информацией. Например, среди 137 млн номеров из США 44% имели открытые фотографии. В Индии, где WhatsApp наиболее популярен, этот показатель достиг 62%.
Исследователи считают, что базы данных такого масштаба могут представлять интерес для спам-кампаний или правительств стран, где WhatsApp заблокирован. Среди собранных данных они обнаружили 2,3 млн номеров из Китая и 1,6 млн из Мьянмы, что может создать риски для пользователей в этих странах.
Команда также обнаружила повторяющиеся криптографические ключи в некоторых аккаунтах, что может свидетельствовать о использовании неофициальных клиентов WhatsApp, особенно теми, кто занимается мошенничеством.
Исследователи подводят итог, что основная проблема заключается в использовании телефонного номера как универсального идентификатора. Он не был задуман как приватный или уникальный ключ, но в WhatsApp именно он служит основой для поиска и подтверждения аккаунтов. Meta уже тестирует систему никнеймов как альтернативу.
