Група науковців з Віденського університету виявила небезпечну вразливість у WhatsApp, що дозволила їм збирати телефонні номери користувачів через функцію пошуку контактів. Завдяки простій методиці перебору номерів через веб-інтерфейс, їм вдалося отримати більше 3,5 мільярдів записів, що фактично представляє собою базу телефонних номерів більшості користувачів платформи. Про це повідомляє Wired.
Вони також змогли отримати аватари профілів для 57% акаунтів та публічні дані профілів для 29%, оскільки ця інформація доступна всім, хто має номер у списку контактів. Команда зв'язалася з Meta в квітні 2025 року і видалила зібрану інформацію. У жовтні компанія ввела нові обмеження на швидкість запитів, щоб запобігти масовим перевіркам.
Meta стверджує, що не виявила жодних ознак зловживання цією технікою, а зібрана інформація є "публічними даними". Проте дослідники підкреслюють, що не обійшли жодних заходів безпеки, оскільки їх просто не існувало. Інший дослідник описував цю вразливість ще у 2017 році, але вона не була виправлена.
Дослідження також вказали на велику кількість акаунтів з публічною інформацією. Наприклад, серед 137 мільйонів номерів з США 44% мали відкриті фотографії. В Індії, де WhatsApp є найпопулярнішим, цей показник сягнув 62%.
Науковці вважають, що такі обсяги даних можуть бути цікавими для спам-кампаній або урядів країн, де WhatsApp заблокований. Серед зібраних даних вони виявили 2,3 мільйона номерів з Китаю та 1,6 мільйона з М'янми, що може створити ризики для користувачів в цих країнах.
Команда також знайшла повторювані криптографічні ключі в частині акаунтів, що може свідчити про використання неофіційних клієнтів WhatsApp, зокрема шахраями.
Вчені підсумовують, що основна проблема полягає в використанні телефонного номера як універсального ідентифікатора. Він не призначався як приватний або унікальний ключ, але у WhatsApp саме він є основою для пошуку та підтвердження акаунтів. Meta вже тестує систему нікнеймів як альтернативу.