Простая уязвимость безопасности WhatsApp раскрыла 3,5 млрд телефонных номеров

Массовое распространение WhatsApp отчасти связано с тем, насколько легко в мессенджере найти новый контакт: для этого необходимо ввести номер телефона, сервис покажет, зарегистрирован ли этот пользователь, а часто ещё его фотографию и имя. Если повторить эту процедуру несколько миллиардов раз со всеми возможными телефонными номерами, то эта же функция может служить удобным способом для получения номера каждого пользователя WhatsApp. В результате возникает масштабная утечка персональной информации значительной части населения мира.

Группа австрийских исследователей продемонстрировала использование этого простого метода проверки каждого возможного номера через функцию поиска контактов WhatsApp, чтобы извлечь номера 3,5 млрд пользователей сервиса. Порядка 57% контактов имели фотографии, а 29% — текстовое описание в профиле.

В 2017 году исследователь безопасности Лоран Клозе предупреждал о такой уязвимости WhatsApp. За это время Meta* так и не ограничила скорость или количество запросов на обнаружение контактов, которые исследователи отправляли через веб-версию мессенджера. Таким образом удалось проверять по 100 млн номеров в час.

«Насколько нам известно, это самая масштабная утечка телефонных номеров и связанных с ними пользовательских данных, когда-либо зафиксированная», — заявил один из авторов научной работы Альоша Юдмайер из Венского университета.

Исследователи предупредили Meta о своих выводах ещё в апреле 2025 года и удалили добытые миллиарды контактов. К октябрю компания ввела более строгие меры, которые препятствуют массовому обнаружению контактов, использованному исследователями. Техника позволяла извлекать данные кому угодно, заявил соавтор работы Макс Гюнтер.

Meta отблагодарила исследователей через систему