- Уязвимость в функции поиска контактов WhatsApp позволила получить номера 3,5 млрд пользователей.
- Исследователи смогли проверять до 100 млн номеров в час, используя веб-версию мессенджера.
- После сообщения об уязвимости Meta ввела меры ограничения массового обнаружения контактов, сохранив при этом конфиденциальность сообщений.
Группа австрийских исследователей безопасности выявила серьёзную уязвимость в популярном мессенджере WhatsApp, которая привела к масштабной утечке телефонных номеров порядка 3,5 млрд пользователей по всему миру. Эксперты воспользовались функцией поиска контактов в сервисе, позволяющей по номеру телефона определить, зарегистрирован ли пользователь в системе, а также получить доступ к его имени и фотографии, если они доступны для просмотра.
Недооценка риска анонимного массового перебора номеров через эту функцию позволила исследователям отправлять до 100 миллионов запросов в час, что сделало возможным «вытягивание» контактных данных с почти всех существующих телефонных номеров. В итоге около 57% из выявленных аккаунтов имели прикреплённые фотографии, а у 29% присутствовали текстовые описания профилей, что значительно увеличивает объём персональных данных, оказавшихся в потенциальном доступе.
Важно отметить, что эта уязвимость была ранее описана специалистом Лораном Клозе в 2017 году, однако Meta, владеющая WhatsApp, долгое время не ограничивала количество запросов на поиск контактов в веб-версии сервиса. Лишь после обращения исследователей в апреле 2025 года компания предприняла меры по усилению защиты и организации строгих ограничений, препятствующих массовому сканированию номеров.
В компании подтвердили, что полученные данные включали только «базовую общедоступную информацию», и подчеркнули, что благодаря использованию сквозного шифрования сообщения пользователей остались конфиденциальными. Вице-президент по разработке WhatsApp Нитин Гупта отметил, что проведённое исследование помогло улучшить существующие антихакерские системы. При этом, несмотря на выявленную проблему, нет свидетельств о злоумышленниках, которые активно эксплуатируют данную уязвимость.
Интересный факт — уровень раскрытия профилей значительно варьируется в зависимости от региона: в США открытые фотографии имеют 44% профилей, тогда как в Индии и Бразилии этот показатель достигает 62% и 61% соответственно.
Авторы исследования подчеркивают, что основная проблема заключается в использовании телефонных номеров как уникального идентификатора пользователей. Нечто такое масштабное, как WhatsApp с миллиардами аккаунтов, требует более надёжных механизмов защиты и контроля доступа к данным. Ограничение скорости запросов остаётся единственным действенным средством против массового сбора информации, но этот подход не гарантирует полной безопасности.
В связи с тем, что Meta признана экстремистской организацией и её деятельность запрещена в России, локальное влияние инцидента может иметь свои особенности, однако выявленная уязвимость свидетельствует о комплексных проблемах в обеспечении безопасности массовых коммуникационных платформ.
