Исследователи Венского университета обнаружили в WhatsApp уязвимость, которая позволяла массово собирать телефонные номера пользователей через механизм поиска контактов в веб-версии. Об этом сообщает Wired.
С помощью простого перебора номеров они получили более 3,5 миллиарда записей — фактически базу телефонов большинства пользователей платформы. Кроме номеров, удалось загрузить аватары для 57 % аккаунтов и текст профиля для 29 %, поскольку эти данные WhatsApp показывает всем, кто добавляет номер в контакты.
О проблеме сообщили Meta в апреле 2025 года, после чего собранную базу уничтожили. В октябре компания ввела более жесткие ограничения скорости запросов, чтобы сделать невозможными массовые проверки.
Meta заявила, что признаков злонамеренного использования не обнаружено, а полученные данные были публичными. Исследователи отмечают: обход защиты не применялся — его просто не существовало. Подобную уязвимость описывали еще в 2017 году, но ее не устранили.
Анализ показал высокий процент открытых профилей: в США — 44% из 137 млн номеров, в Индии — 62%. Среди собранных данных — 2,3 млн номеров из Китая и 1,6 млн из Мьянмы, что создает риски для пользователей в странах, где WhatsApp заблокирован.
Также обнаружены повторяющиеся криптографические ключи у части аккаунтов — признак использования неофициальных клиентов, в частности мошеннических.
Исследователи считают главной проблемой использование телефонного номера в качестве идентификатора. Meta уже тестирует замену на никнеймы.
Подписывайтесь на наш Тelegram-канал t.me/sudua и на Google Новости SUD.UA, а также на наш VIBER, страницу в Facebook и в Instagram, чтобы быть в курсе самых важных событий.
