WhatsApp допустил утечку 3,5 млрд номеров своих пользователей — уязвимость игнорировали 8 лет

Исследователи смогли сформировать базу из 3,5 млрд телефонных номеров, получить фото профилей и текстовые статусы значительной части аккаунтов, сообщают в SecurityLab.

Как работала скрытая уязвимость

Главной причиной утечки стала функция поиска контактов в WhatsApp. Приложение автоматически показывает, зарегистрирован ли номер в системе, и частично отображает профиль.
В веб-версии отсутствовали ограничения на количество запросов, что дало возможность за считанные часы перебрать глобальные диапазоны номеров и сопоставить их с реальными учетными записями.

Масштаб: десятки миллионов фотографий и статусов

Анализ данных показал:

• 57% найденных аккаунтов имели открытые изображения профилей;

• примерно треть — доступные текстовые статусы.

Если такая база попадёт в открытый доступ, она может стать одной из крупнейших в истории, учитывая объем частичных персональных данных.

Компания знала о проблеме — но исправила только осенью

Исследователи сообщили Meta об уязвимости ещё весной, однако закрыта она была только в октябре.
Это означает, что сопоставимую операцию могли провести и злоумышленники — от спамеров и мошенников до государственных структур, использующих эти данные для мониторинга активности граждан.

При этом на аналогичную проблему ещё в 2017 году уже обращали внимание, но тогда компания объяснила происходящее «обычными настройками конфиденциальности».

Рост угроз: аудитория выросла — риски увеличились

Сравнение свежих результатов с ситуацией семилетней давности показывает:

• если в 2017 году речь шла о десятках миллионов потенциально доступных профилей,

• то сейчас WhatsApp пользуется более чем треть населения планеты.

Использование телефонного номера как основного идентификатора делает систему уязвимой: номера легко перебираются, а текущая архитектура не позволяет эффективно защититься без дополнительных технических ограничений.

Страны с наибольшей долей открытых профилей

Исследователи выявили значительные различия между регионами:

• США: 44% из 137 млн профилей имели открытые фото;

• Индия: 62% из 750 млн;

• Бразилия: 61% из 206 млн.

Чем популярнее WhatsApp в стране, тем чаще пользователи остаются со стандартными настройками конфиденциальности.

Данные из стран, где WhatsApp заблокирован

Особое внимание вызвали миллионы пользователей из государств, где сервис официально запрещён:

• Китай — 2,3 млн записей,

• Мьянма — 1,6 млн.

По мнению исследователей, такой массив данных может использоваться местными властями для отслеживания граждан, обходящих блокировки.

Странности в работе шифрования

Учёные также обнаружили сотни повторяющихся ключей сквозного шифрования. Это может указывать на широкое использование неофициальных версий WhatsApp, что потенциально снижает уровень защиты сообщений.

Что будет дальше: WhatsApp может отказаться от номеров

Исследователи считают, что проблема затрагивает не только WhatsApp, но и все сервисы, где телефонный номер является главным идентификатором.
Meta уже тестирует альтернативную систему — внутренние логины пользователей. Эксперты считают, что переход на такую модель может стать необходимостью, чтобы остановить массовый сбор данных и существенно повысить безопасность.