Массовое распространение WhatsApp отчасти связано с тем, насколько легко в мессенджере найти новый контакт: для этого необходимо ввести номер телефона, сервис покажет, зарегистрирован ли этот пользователь, а часто ещё его фотографию и имя. Если повторить эту процедуру несколько миллиардов раз со всеми возможными телефонными номерами, то эта же функция может служить удобным способом для получения номера каждого пользователя WhatsApp. В результате возникает масштабная утечка персональной информации значительной части населения мира.
Группа австрийских исследователей продемонстрировала использование этого простого метода проверки каждого возможного номера через функцию поиска контактов WhatsApp, чтобы извлечь номера 3,5 млрд пользователей сервиса. Порядка 57% контактов имели фотографии, а 29% — текстовое описание в профиле.
В 2017 году исследователь безопасности Лоран Клозе предупреждал о такой уязвимости WhatsApp. За это время Meta* так и не ограничила скорость или количество запросов на обнаружение контактов, которые исследователи отправляли через веб-версию мессенджера. Таким образом удалось проверять по 100 млн номеров в час.
«Насколько нам известно, это самая масштабная утечка телефонных номеров и связанных с ними пользовательских данных, когда-либо зафиксированная», — заявил один из авторов научной работы Альоша Юдмайер из Венского университета.
Исследователи предупредили Meta о своих выводах ещё в апреле 2025 года и удалили добытые миллиарды контактов. К октябрю компания ввела более строгие меры, которые препятствуют массовому обнаружению контактов, использованному исследователями. Техника позволяла извлекать данные кому угодно, заявил соавтор работы Макс Гюнтер.
Meta отблагодарила исследователей через систему вознаграждений за обнаружения уязвимостей. В компании подчеркнули, что данные учёных включали только «базовую общедоступную информацию». Некоторые фотографии и описания профилей не были доступны другим пользователям, поскольку владельцы аккаунтов сделали эти данные конфиденциальными.
«Мы уже работали над ведущими в отрасли системами защиты от взлома, и это исследование сыграло важную роль в стресс-тестировании и подтверждении немедленной эффективности этих новых средств защиты», — написал вице-президент по разработке WhatsApp Нитин Гупта.
По его словам, компания не нашла доказательств того, что злоумышленники активно используют эту технику. Сообщения пользователей оставались конфиденциальными и защищёнными благодаря сквозному шифрованию WhatsApp по умолчанию, поэтому исследователи не получили доступ к каким-либо закрытым данным, объяснил Гупта.
Исследователи обнаружили, что использование настроек конфиденциальности меняется от страны к стране. Если в США 44% профилей имели общедоступные фотографии, то в Индии и Бразилии это значение достигало 62% и 61%.
Авторы работы утверждают, что их выводы указывают на более фундаментальную проблему таких сервисов, как WhatsApp. По их словам, телефонные номера недостаточно случайны, чтобы их можно было использовать в качестве уникального идентификатора сервиса с миллиардами пользователей. Ограничение скорости обработки запросов остаётся единственной мерой предотвращения массового сбора данных пользователей, которая никогда не будет полностью защищена от утечек, если WhatsApp продолжит отдавать приоритет удобному поиску контактов.
*Meta Platforms признана экстремистской организацией, её деятельность в России запрещена;
Источник: habr.com