Исследователи из Венского университета выявили серьезную уязвимость в WhatsApp, которая позволила им массово собирать телефонные номера пользователей через функцию поиска контактов. Используя простую методику перебора номеров через веб-версию сервиса, им удалось получить более 3,5 миллиарда записей, фактически создав базу телефонных номеров большинства пользователей платформы. Об этом сообщает Wired.
Кроме номеров, исследователи смогли скачать аватары профилей для 57% аккаунтов и публичные текстовые данные профилей для 29%, так как эта информация доступна всем, кто добавляет номер в свои контакты. Команда сообщила об этой проблеме Meta в апреле 2025 года и удалила собранную базу. В октябре компания ввела более строгие ограничения на скорость запросов, чтобы закрыть возможность массовой проверки.
Meta заявила, что не обнаружила признаков злоупотребления этой техникой, а сообщенная информация была "базовыми публичными данными". Однако исследователи подчеркивают, что они не обошли никаких механизмов защиты; таких механизмов просто не существовало. Другой исследователь описывал эту уязвимость еще в 2017 году, но она так и не была устранена.
Анализ также показал значительное количество аккаунтов с публичной информацией. Например, среди 137 миллионов номеров из США 44% имели открытые фотографии. В Индии, где WhatsApp наиболее популярен, этот показатель достиг 62%.
Исследователи считают, что такие объемы данных могут быть интересны для спам-кампаний или правительств стран, где WhatsApp заблокирован. Среди полученных данных они обнаружили 2,3 миллиона номеров из Китая и 1,6 миллиона из Мьянмы, что может создать риски для пользователей в этих странах.
Команда также обнаружила повторяющиеся криптографические ключи в некоторых аккаунтах, что может свидетельствовать о использовании неофициальных клиентов WhatsApp, особенно мошенниками.
Исследователи подводят итоги, что главная проблема заключается в использовании телефонного номера как универсального идентификатора. Он не был предназначен для того, чтобы быть приватным или уникальным ключом, но в WhatsApp именно он служит основой для поиска и подтверждения аккаунтов. Meta уже тестирует систему никнеймов как альтернативу.