Група науковців з Віденського університету виявила серйозну вразливість у WhatsApp, що дозволяла безперешкодно збирати телефонні номери користувачів через механізм пошуку контактів. Дослідники змогли отримати доступ до понад 3,5 мільярда телефонних номерів, фактично створивши величезну базу даних користувачів платформи. Про це інформує Wired.
Крім телефонних номерів, дослідники завантажили аватари профілів для 57% облікових записів та публічний текст профілю для 29%, оскільки ці дані доступні всім, хто зберігає номер у своїх контактах. Команда сповістила про цю проблему Meta в квітні 2025 року та знищила зібрану інформацію. У жовтні компанія ввела більш суворі обмеження на швидкість запитів, щоб унеможливити масові перевірки.
Meta стверджує, що не виявила ознак зловмисного використання цієї вразливості, а надана інформація була лише "публічними даними". Однак дослідники підкреслюють, що вони не обходили системи захисту, адже такі системи насправді не існували. Інший дослідник описав подібну уразливість ще в 2017 році, але вона залишалася без усунення.
Аналіз показав значну кількість акаунтів з публічно доступною інформацією. Наприклад, серед 137 мільйонів номерів з США 44% мали відкриті фотографії. В Індії, де WhatsApp найбільш популярний, цей показник сягнув 62%.
Дослідники вважають, що така база даних може бути цікавою для спам-кампаній або для урядів країн, де WhatsApp заборонено. Серед зібраних даних вони виявили 2,3 мільйона номерів з Китаю та 1,6 мільйона з М'янми, що створювало ризики для користувачів у цих країнах.
Крім того, команда виявила повторювані криптографічні ключі в частини акаунтів, що може свідчити про використання неофіційних клієнтів WhatsApp, зокрема серед шахраїв.
Дослідники підкреслюють, що основна проблема полягає в тому, що телефонний номер використовується як універсальний ідентифікатор. Хоча він не призначався для того, щоб бути приватним або унікальним ключем, у WhatsApp саме цей номер слугує основою для пошуку та підтвердження акаунтів. Meta вже тестує систему нікнеймів як альтернативу.