Просчёт в безопасности WhatsApp: раскрыты 3,5 млрд номеров

Австрийские исследователи обнаружили серьёзный просчёт в защите WhatsApp (принадлежит Meta, которая признана в РФ экстремистской и запрещена). Они смогли собрать 3,5 млрд телефонных номеров пользователей, просто эксплуатируя функцию поиска контактов мессенджера.

Механизм получения данных оказался предельно простым. Исследователи подставляли в систему все возможные комбинации цифр через браузерную версию приложения. Мессенджер послушно выдавал информацию о реальных пользователях со скоростью около 100 млн номеров в час. Для 57% аккаунтов удалось получить фотографии профилей, а для 29% — тексты из раздела «О себе». Разработчики мессенджера не ограничивали количество запросов, что позволило провести масштабный сбор данных.

Анализ показал интересную картину настроек приватности по странам. В США только 44% из 137 млн пользователей показывают свои фото публично. В Индии этот показатель составляет 62% из 750 млн аккаунтов, а в Бразилии — 61% из 206 млн. Также выявлено 2,3 млн номеров из Китая и 1,6 млн из Мьянмы — стран, где этот мессенджер официально запрещён.

Один из исследователей из Венского университета Альоша Юдмайер, работавший над исследованием, отмечает, что это самая масштабная утечка телефонных номеров и связанных с ними пользовательских данных, которая когда-либо была зафиксирована.

Исследователи сообщили о своих находках разработчикам мессенджера в апреле 2025 года и удалили собранную базу. Сейчас компания ввела ограничения на частоту запросов. Но до этого момента кто угодно мог применять ту же технику. 

Интересно, что о проблеме знали ещё в 2017 году. Голландский исследователь Лоран Клоезе описал тот же метод в своем блоге и предупредил компанию. Создатели мессенджера тогда проигнорировали проблему, заявив, что настройки приватности работают так, как задумано.