Уязвимость в WhatsApp: массовая утечка телефонных номеров
Группа исследователей из Венского университета выявила серьезную уязвимость в WhatsApp, которая позволяла массово собирать телефонные номера пользователей через механизм поиска контактов. Используя простой перебор номеров через веб-версию сервиса, им удалось собрать более 3,5 миллиардов записей, фактически создав базу телефонных номеров большинства пользователей платформы. Об этом сообщает Wired.
Помимо телефонных номеров, исследователи смогли загрузить аватары профилей для 57% аккаунтов и публичные тексты профилей для 29%, так как эта информация была доступна всем, кто добавлял номер в свои контакты. Команда уведомила Meta о проблеме в апреле 2025 года и уничтожила собранную базу. В октябре компания внедрила более строгие ограничения на скорость запросов, чтобы закрыть возможность массовых проверок.
Meta заявила, что не обнаружила признаков злонамеренного использования этой техники, а сообщенные данные были "базовыми публичными сведениями". Однако исследователи подчеркивают, что они не обошли защитные механизмы – их просто не было. Подобную уязвимость описывал другой исследователь еще в 2017 году, но она так и не была устранена.
Анализ также показал значительное количество аккаунтов с открытой информацией. Например, среди 137 миллионов номеров из США 44% имели открытые фотографии. В Индии, где WhatsApp наиболее популярен, этот показатель достиг 62%.
Исследователи считают, что такие большие базы данных могут представлять интерес для спам-кампаний или для правительств стран, где WhatsApp заблокирован. Среди полученных данных они обнаружили 2,3 миллиона номеров из Китая и 1,6 миллиона из Мьянмы, что могло создать риски для пользователей в этих странах.
Команда также нашла повторяющиеся криптографические ключи в некоторых аккаунтах – это может свидетельствовать об использовании неофициальных клиентов WhatsApp, особенно теми, кто занимается мошенничеством.
Исследователи подводят итог, что главная проблема заключается в использовании телефонного номера как универсального идентификатора. Он не был задуман как приватный или уникальный ключ, но в WhatsApp именно он служит основой для поиска и подтверждения аккаунтов. Meta уже тестирует систему никнеймов как альтернативу.
