Команда комп’ютерних вчених з Віденського університету та дослідницької мережі SBA виявила вразливість, яка розкрила дані з 3,5 мільярдів облікових записів WhatsApp. За словами керівника проекту Габріеля Гегенхубера, фахівці змогли легко підключитися до бази користувачів сервісу і переглядати номери телефонів, фотографії, статуси та інші публічні дані.
Що саме було видобуто?
Експерти отримали не лише номери телефонів, а й іншу публічну інформацію. Зокрема, вони завантажували фотографії профілю, статуси, часові мітки активності та криптографічні ключіякі використовуються для шифрування повідомлень.
Крім того, із зібраних даних можна було визначити:
- тип операційної системи, за допомогою якої користувач зайшов у WhatsApp;
- вік рахунку;
- кількість підключених пристроїв.
Особливе занепокоєння викликало те близько 30% користувачів вказали особисту інформацію у своїх профілях. Наприклад, політичні погляди, віросповідання або сімейний стан. У деяких випадках були знайдені навіть урядові та військові електронні адреси.
Наскільки постраждали користувачі з Німеччини?
Дослідження показало, що У Німеччині 74,6 мільйона активних облікових записів WhatsApp, що становить 88% населення країни.. В Австрії таких користувачів 7,9 млн (86%), а в Швейцарії – 8,4 млн (95%).
Серед німецьких користувачів половина (51%) відкрито публікує фотографії профілю, а третина (35%) залишає публічні статуси. Ці дані, на думку вчених, можна використовувати для складання психологічних і соціальних портретів користувачів.
Проблеми з шифруванням
Перевіряючи безпеку повідомлень, дослідники виявили 2,3 мільйона криптографічних ключів, які повторно використовувалися на різних пристроях. Така помилка теоретично може дозволити зловмисникам розшифрувати особисте листування або навіть заволодіти обліковим записом.
Цікаво, що вчені порівняли свої дані з витоком у Facebook 2021 року, коли у відкритому доступі було 500 мільйонів номерів. Виявилося, що 58% з цих номерів (281 мільйон) все ще активні. Це говорить про те, що наслідки таких інцидентів тривають роками.
Як відповіла Мета
Компанія Meta, власник WhatsApp, отримала повідомлення про вразливість ще у вересні 2024 року. Представники корпорації подякували дослідникам за співпрацю та запевнили, що всі дані були видалені. Ознак їх нецільового використання не було.
З жовтня 2025 року WhatsApp запровадив додаткові заходи безпеки.
Серед них:
- обмеження кількості запитів до профілів і статусів;
- введення довічного обмеження на кількість запитів з одного облікового запису.
- Що робити користувачам?
Дослідники радять кожному користувачеві WhatsApp:
- перевірте налаштування конфіденційності;
- заблокувати стороннім особам доступ до фотографій профілю та статусів;
- не публікуйте особисті дані в публічних полях.
Крім того, експерти рекомендують Meta піти далі і зашифрувати зображення профілів і статуси, як це вже було зроблено в месенджері Signal. Такий підхід дозволяє лише підтвердженим контактам бачити особисту інформацію і значно підвищує безпеку спілкування.
