Исследователи Венского университета обнаружили критический просчет в механизме конфиденциальности WhatsApp, который позволял автоматически собрать базу из 3,5 млрд номеров пользователей по всему миру – вместе с фотографиями и статусами – без взлома и обхода системы безопасности, пишет Digital Business.
Как утекли миллиарды номеров
По данным SecurityLab, уязвимость была связана с базовой функцией WhatsApp – поиском контактов. Приложение показывает, зарегистрирован ли номер в сервисе, а также отображает имя владельца и часть профиля.
Исследователи обнаружили, что в веб-версии WhatsApp отсутствовали ограничения на количество запросов, что позволило перебрать огромные диапазоны номеров и сопоставить их с реальными аккаунтами.
В результате они сформировали базу из 3,5 млрд номеров, а также получили:
- 57% всех фотографий профилей,
- около 33% текстовых статусов.
Крупнейший провал
Если бы подобная база попала в открытый доступ, она стала бы одной из крупнейших утечек частичных персональных данных в истории. Опасность в том, что сбор данных мог быть проведен: мошенниками, спамерами, государственными структурами и маркетинговыми компаниями.
Эксперты подчеркивают: номер телефона – предсказуемый идентификатор, и без дополнительных технических ограничений WhatsApp не может эффективно защитить пользователей.
Meta знала о проблеме
Ученые сообщили Meta о находке весной. Однако уязвимость была исправлена только в октябре, что оставляло многомесячное окно для возможных злоупотреблений. Причем аналогичную проблему исследователи поднимали еще в 2017 году, но тогда компания заявляла, что это «нормальное поведение системы».
С тех пор риски выросли многократно: вместо десятков миллионов доступных профилей речь теперь идет о треть населения мира.
Анализ показал, что уровень открытости профилей сильно различается:
- США: фото в профиле открыты у 44% из 137 млн пользователей
- Индия: 62% из 750 млн
- Бразилия: 61% из 206 млн
Чем выше популярность WhatsApp, тем реже пользователи меняют стандартные настройки приватности.
Особый интерес вызвали данные из стран, где WhatsApp официально заблокирован:
- Китай – 2,3 млн аккаунтов,
- Мьянма – 1,6 млн.
Эксперты считают, что такие данные могут использоваться властями для отслеживания пользователей, обходящих блокировки.
Проблемы со шифрованием и следы неофициальных клиентов
Исследователи также нашли сотни повторяющихся ключей шифрования – это может указывать на массовое использование сторонних, небезопасных клиентов WhatsApp, которые нарушают стандартные механизмы безопасности.
По мнению команды исследования, уязвимость касается не только WhatsApp, но и всех сервисов, где номер телефона является основным идентификатором.
Meta уже тестирует новую систему с внутренними именами пользователей, которая должна снизить риск массового сбора данных и перестать связывать личность человека с номером.
Эксперты считают, что переход к такой модели – необходимый шаг, чтобы предотвратить подобные инциденты в будущем.