Ученые из Венского университета выявили серьёзную уязвимость в WhatsApp, которая позволяла массово собирать телефонные номера пользователей через стандартный механизм поиска контактов. Эксперимент показал, что при простом переборе номеров через веб-версию сервиса можно получить более 3,5 млрд записей, фактически охватывая базу большинства пользователей платформы, пишет Wired.
Помимо самих номеров, исследователи скачали аватары для 57% аккаунтов и публичные тексты профилей для 29%, поскольку WhatsApp показывает эти данные всем, кто добавляет номер в контакты. Команда уведомила Meta о проблеме в апреле 2025 года и уничтожила собранные данные. В октябре компания ужесточила ограничения скорости запросов, чтобы закрыть возможность массового перебора номеров.
Meta подчеркнула, что признаков злоумышленного использования техники не обнаружено, а собранная информация относится к базовым публичным данным. Тем не менее исследователи отмечают, что обходить защитные механизмы им не пришлось – их просто не было. Аналогичную уязвимость описывали ещё в 2017 году, но тогда она осталась нерешённой.
Анализ показал, что многие пользователи оставляют свои данные открытыми: в США 44% аккаунтов из выборки в 137 млн номеров имели открытые фото, а в Индии, где WhatsApp особенно популярен, этот показатель достиг 62%.
Исследователи предупреждают, что подобные базы могли бы представлять интерес для спамеров или даже государственных структур в странах, где WhatsApp заблокирован. Среди данных были обнаружены 2,3 млн номеров из Китая и 1,6 млн из Мьянмы, что потенциально создавало риски для пользователей в этих странах.
Также команда заметила повторяющиеся криптографические ключи у части аккаунтов, что может указывать на использование неофициальных клиентов WhatsApp, часто применяемых для мошенничества.
Главной проблемой специалисты называют использование номера телефона как универсального идентификатора. Он не создавался для приватного или уникального ключа, но в WhatsApp служит основой для поиска и подтверждения аккаунтов. Сейчас Meta тестирует альтернативу – систему никнеймов, которая может заменить номер как основной идентификатор.
источник
уникальность
Помимо самих номеров, исследователи скачали аватары для 57% аккаунтов и публичные тексты профилей для 29%, поскольку WhatsApp показывает эти данные всем, кто добавляет номер в контакты. Команда уведомила Meta о проблеме в апреле 2025 года и уничтожила собранные данные. В октябре компания ужесточила ограничения скорости запросов, чтобы закрыть возможность массового перебора номеров.
Meta подчеркнула, что признаков злоумышленного использования техники не обнаружено, а собранная информация относится к базовым публичным данным. Тем не менее исследователи отмечают, что обходить защитные механизмы им не пришлось – их просто не было. Аналогичную уязвимость описывали ещё в 2017 году, но тогда она осталась нерешённой.
Анализ показал, что многие пользователи оставляют свои данные открытыми: в США 44% аккаунтов из выборки в 137 млн номеров имели открытые фото, а в Индии, где WhatsApp особенно популярен, этот показатель достиг 62%.
Исследователи предупреждают, что подобные базы могли бы представлять интерес для спамеров или даже государственных структур в странах, где WhatsApp заблокирован. Среди данных были обнаружены 2,3 млн номеров из Китая и 1,6 млн из Мьянмы, что потенциально создавало риски для пользователей в этих странах.
Также команда заметила повторяющиеся криптографические ключи у части аккаунтов, что может указывать на использование неофициальных клиентов WhatsApp, часто применяемых для мошенничества.
Главной проблемой специалисты называют использование номера телефона как универсального идентификатора. Он не создавался для приватного или уникального ключа, но в WhatsApp служит основой для поиска и подтверждения аккаунтов. Сейчас Meta тестирует альтернативу – систему никнеймов, которая может заменить номер как основной идентификатор.
источник
уникальность
