Критичен безбедносен пропуст во WhatsApp му овозможи на тим истражувачи да ги открие телефонските броеви на 3,5 милијарди корисници, што е еден од најголемите документирани пробиви на податоци досега. Ранливоста произлегува од неговата функција за следење на контакти, а Meta е известена за тоа од 2017 година.
Истражувачите од Универзитетот во Виена покажаа дека е можно систематски да се пребаруваат милијарди потенцијални броеви и да се проверуваат активни сметки со брзина од повеќе од 100 милиони броеви на час, без никакви ограничувања. Нивната студија, спроведена помеѓу декември 2024 и април 2025 година, ја користеше алатката libphonegen за да генерира реално структурирани броеви во 245 земји. Преку модифициран отворен XMPP клиент, тие исто така добија јавно достапни податоци за профилот, време на активност и криптографски клучеви, вклучувајќи идентитет и претходен клуч, за 56,7 проценти од сметките.
Системот за следење на контакти на WhatsApp беше дизајниран за погодност, но недостатокот на ефикасно ограничување на барањата овозможи автоматско собирање податоци на големи размери. Пет автентицирани сметки на еден универзитетски сервер беа доволни за обработка на 63 милијарди потенцијални броеви и идентификување на 3,5 милијарди активни за помалку од шест месеци.
За 29,3 проценти од корисниците, јавната „about“ содржина откри чувствителни информации, вклучувајќи политички ставови, религиозни верувања и врски до други профили, а особено загрижувачки беа 2,9 милиони случаи на повторна употреба на криптографски клуч. Во еден екстремен пример, дваесет американски броеви делеа клуч составен од нули, што укажува на погрешни имплементации или потенцијална измама. Таквиот недостаток на уникатност на клучот би можел да отвори врата за кршење на енкрипцијата на двата краја од страна на неовластени клиенти.
Најлошиот дел од оваа приказна е што проблемот е познат со години, а Meta не направила апсолутно ништо за да го реши. Откриените податоци се преклопуваат со претходните протекувања, како што е она на Facebook во 2021 година, кога речиси половина од броевите објавени во тоа време беа сè уште активни на WhatsApp, зголемувајќи ја изложеноста на различни форми на злоупотреба, вклучувајќи измами и целни кампањи за напади. Постои дополнителен ризик за корисниците во земјите каде што WhatsApp е забранет, вклучувајќи ги Кина, Иран и Северна Кореја, поради можноста за државен надзор.
Meta ги призна наодите преку својата програма за пријавување ранливости во април и воведе построго ограничување на барањата во октомври. Компанијата вели дека изложените податоци секако биле јавни и дека енкрипцијата на пораките не била компромитирана.
Потпретседателот за инженерство Нитин Гупта изјави дека развива дополнителни механизми против автоматско собирање податоци. Истражувачите го избришаа збирот на податоци по студијата и забележаа дека приватните профили значително ја намалија изложеноста, но ја критикуваа Meta што не пронашла никакви заштитни мерки во текот на месеците истражување.
И покрај закрпите, експертите предупредуваат дека ризиците остануваат. Деловните сметки, кои сочинуваат девет проценти од корисниците, се особено ранливи бидејќи значителен дел од нивните податоци се јавно видливи преку функциите на WhatsApp Business. Последиците вклучуваат зголемен ризик од фишинг, докинг и други форми на експлоатација на големи бази на податоци.
Експертите им советуваат на корисниците да ги постават своите профили на приватни поставки, да избегнуваат споделување чувствителни информации во статуси и да ги следат сомнителните активности.
Во регионите каде што доминира WhatsApp, како што е Западна Африка, каде што 80 проценти од профилите се јавни, ризиците од кражба на идентитет и насочени напади се дополнително зголемени. Регулаторите може да го пренасочат вниманието кон Meta, особено по претходните казни според GDPR, охрабрувајќи ја имплементацијата на проактивна одбрана, вклучувајќи напредни CAPTCHA системи, објави Cyber Security News.