WhatsApp, месенджер, яким користуються 3,5 мільярда користувачів, вже давно славиться своєю бездоганною безпекою та конфіденційністю.
Але дослідникам вдалося зламати замок програми досить простим способом – додавши номери телефонів людей.
Цей трюк, розкритий у статті, опублікованій на Github, програмній платформі, де програмісти обмінюються кодом, показує номер практично кожного користувача.
Команда дослідників з Віденського університету в Австрії заявила, що це один із «найбільших витоків даних в історії».
Компанія Meta, яка володіє WhatsApp, наголосила Metro , що доступу до приватної інформації користувачів не було, а всі номери згодом були видалені.
Компанія не знайшла жодних доказів того, що хакери «зловживають» цією хитрістю.
Як дослідникам вдалося знайти номери телефонів 3,5 мільярда людей?
Щоб надіслати комусь повідомлення в WhatsApp, користувач спочатку має додати його до своїх контактів, а додаток шукатиме, чи має людина вже обліковий запис.
Якщо це так, людину буде додано до її книги контактів, а також відображатиметься її фотографія профілю та слоган «Про мене», якщо вони є.
Це частина функції пошуку контактів у додатку, і для цього номери телефонів мають бути доступними для пошуку.
Дослідники з безпеки з Віденського університету протестували помилку безпеки, автоматично генеруючи та шукаючи 63 мільярди можливих номерів телефонів, щоб перевірити, чи є у них облікові записи WhatsApp.
Таким чином було підтверджено номери телефонів у 100 мільйонів користувачів на годину.
Дослідники відкрили не лише номери телефонів – їм вдалося побачити фотографії профілів 57% користувачів.
Для 29,3% користувачів текст «про мене» був доступним, деякі з них ділилися інформацією про свої релігійні та політичні погляди або посиланнями на свої акаунти в інших соціальних мережах.
Дослідження, проведене у грудні 2024 року та квітні 2025 року, створило набір даних за допомогою інструменту під назвою libphonegen, подібного до телефонного довідника.
Чи варто мені турбуватися про свою конфіденційність?
Маріюс Брієдіс, головний технічний директор компанії з кібербезпеки NordVPN, повідомив Metro , що хакери можуть використовувати цю вразливість.
«Ця проблема висвітлює фундаментальну проблему архітектури WhatsApp: сам номер телефону є вразливістю», – сказав він.
«Оскільки WhatsApp використовує числа як основну систему ідентифікації, зловмисники змогли автоматично протестувати мільярди з них та отримати дані профілю з надзвичайною швидкістю».
«Вам не потрібно було зламувати повідомлення – потрібно було лише перевірити, чи зареєстрований номер, і система виявила б набагато більше, ніж мала б».
Брейдіс сказав, що він стурбований тим, що цей недолік також ставить під загрозу інформацію, що лежить в основі всіх цифрових медіа – метадані.
Метадані включають IP-адреси (які розкривають ваше загальне місцезнаходження та можуть бути пов’язані з вашим пристроєм), а також коли і кому ви надсилаєте повідомлення, згідно з політикою конфіденційності WhatsApp.
«У великих масштабах це стає золотою жилою для шахраїв, злочинців та добре забезпечених кібергруп», – додав Брієдіс.
«Масштаб цього інциденту, який потенційно торкнувся мільярдів номерів, має стати сигналом тривоги для будь-якої платформи, яка досі покладається на номери телефонів для ідентифікації».
«Номери телефонів ніколи не розроблялися як безпечні ідентифікатори; вони надто публічні, надто постійні та надто легко піддаються крадіжці».
Дослідження було проведено в рамках програми Meta Bug Bounty, в рамках якої гігант соціальних мереж платить людям за те, щоб вони попереджали компанію про недоліки безпеки.
Meta повідомила Metro , що цього року отримала 13 000 заявок на помилки, виписавши приблизно 3 мільйони фунтів стерлінгів винагороди за майже 800 обґрунтованих звітів.
У вівторковому прес-релізі компанія назвала австрійське дослідження одним із «найбільших відкриттів».
Більше трендів
Мама зіткнулася з «жахливим порно», коли купувала халат на Vinted
Технології 2 дні тому
- Повний список регіонів у Великій Британії, що стали жертвами «сумнівних» репресій щодо Fire TV.
- Що станеться, якщо інтернет раптово перестане працювати?
- 1 300 000 000 паролів було викрито внаслідок історичного порушення, пов'язаного з кіберзлочинцями
Нітін Гупта, віце-президент з інженерії WhatsApp, подякував австрійським науковцям за виявлення «нового» недоліку.
«Ми вже працювали над провідними в галузі системами захисту від подряпин, і це дослідження відіграло важливу роль у стрес-тестуванні та підтвердженні негайної ефективності цих нових захисних механізмів», – сказала вона у заяві для Metro .
«Важливо, що дослідники безпечно видалили дані, зібрані в рамках дослідження, і ми не знайшли жодних доказів зловмисників, які зловживають цим вектором».
«Нагадуємо, що повідомлення користувачів залишалися конфіденційними та захищеними завдяки стандартному наскрізному шифруванню WhatsApp, і дослідники не мали доступу до жодних непублічних даних».