O echipă de cercetători de la Universitatea din Viena a descoperit o metodă prin care funcția de „contact discovery” din WhatsApp putea fi exploatată pentru a verifica sistematic toate numerele de telefon existente, dezvăluind identitatea a 3.5 miliarde de utilizatori (via Wired). Problema a permis accesarea numărului de telefon, iar în multe cazuri și a fotografiei de profil sau a textului afișat în secțiunea „About”. Cercetătorii numesc incidentul „cea mai extinsă expunere de numere de telefon și date asociate documentată vreodată”.
Cum a funcționat exploatarea
WhatsApp permite verificarea rapidă a unui număr pentru a vedea dacă este asociat unui cont. Cercetătorii au repetat acest proces la scară masivă, generând și testând zeci de miliarde de numere prin aplicația web a platformei. Lipsa unui mecanism eficient de rate limiting le-a permis să ajungă la o viteză de verificare de aproximativ o sută de milioane de numere pe oră.
Această metodă le-a permis să adune 3.5 miliarde de numere unice. Pentru 57 la sută dintre acestea, au găsit și fotografii de profil accesibile public. În alte 29 la sută din cazuri, au identificat și textul public din profil. Informațiile colectate au fost ulterior șterse, iar Meta a fost notificată în aprilie. Compania a implementat abia în octombrie o limitare strictă a cererilor, blocând reproducerea tehnicii.
Meta susține că a fost vorba de date publice
Într-o declarație pentru Wired, Meta afirmă că expunerea a vizat doar date publice ale utilizatorilor care au ales să nu-și restricționeze profilul. Compania spune că nu există dovezi că această metodă a fost folosită în mod rău intenționat și că mesajele utilizatorilor rămân complet protejate datorită criptării end to end.
Cercetătorii contestă însă această perspectivă, argumentând că tehnica exista încă din 2017, când un alt expert, Loran Kloeze, avertizase deja asupra riscului de enumerare a numerelor. În lipsa unui control real al volumului de cereri, orice actor rău intenționat ar fi putut reproduce același proces.
În timp ce majoritatea discuțiilor vizează riscurile asociate spamului și escrocheriilor digitale, cercetătorii au evidențiat și implicații grave pentru țări unde WhatsApp este interzis. Printre cele 3.5 miliarde de numere identificate s-au regăsit aproximativ 2.3 milioane din China și 1.6 milioane din Myanmar. În astfel de state, autoritățile ar fi putut folosi această vulnerabilitate pentru a identifica și urmări utilizatorii aplicației.
Probleme suplimentare cu cheile criptografice
Echipa a examinat și cheile criptografice asociate conturilor descoperite. Ei au observat un număr neobișnuit de mare de cazuri în care mai multe conturi reutilizau aceeași cheie, un defect ce ar fi putut permite decriptarea mesajelor trimise către acele conturi. Fenomenul pare legat de folosirea unor aplicații WhatsApp neoficiale, adesea folosite de rețele de spam sau scam.
Cercetătorii subliniază că problema este una structurală. Numerele de telefon au un spațiu de posibilități limitat și nu pot servi ca identificatori secretoși pentru o platformă folosită de peste o treime din populația planetei. Fără rate limiting eficient, orice platformă care se bazează pe numere de telefon pentru descoperirea contactelor este vulnerabilă la scraping masiv. WhatsApp testează în prezent și o opțiune de username, care ar putea reduce expunerea viitoare.
Breșa evidențiată de cercetătorii austrieci arată cât de fragil poate fi echilibrul dintre ușurința de utilizare și protecția datelor personale. Înainte de remedierea implementată de Meta, vulnerabilitatea permitea unei persoane cu resurse tehnice modeste să colecteze date la o scară fără precedent. Incidentul ridică întrebări majore despre rolul numerelor de telefon ca metodă principală de autentificare într-o lume în care aplicațiile de mesagerie devin infrastructură digitală critică.
