Серйозна вразливість у WhatsApp дозволила розкрити дані профілів і номери телефонів потенційно всіх 3,5 мільярдів користувачів платформи по всьому світу. Відкриття було зроблено дослідниками з Universidade Viena, за адресою
Пролом у безпеці, який був активним з кінця 2024 до початку 2025 року, безпосередньо вплинув на мільйони бразильців. Brasil, будучи третім за величиною ринком програми в світі, мав близько 206 мільйонів облікових записів, які потенційно були розкриті, що викликало серйозні занепокоєння щодо конфіденційності та безпеки особистої інформації користувачів у країні.
Хоча недолік не порушував наскрізне шифрування повідомлень, він дозволяв зловмисникам масово збирати інформацію загальнодоступного профілю. Meta підтвердив, що вніс необхідні виправлення після попередження вчених, зменшивши ризики, пов’язані з використанням уразливості у великих масштабах.
Механіка виявленої вразливості
Техніка, яку використовували дослідники, відома як «перерахування номерів», використовувала функцію пошуку WhatsApp для початку розмов із контактами, не збереженими в адресній книзі. Фахівці розробили програму, яка автоматично генерувала та тестувала послідовності телефонних номерів на високій швидкості, надсилаючи тисячі запитів на сервери платформи в секунду. Como система на той час не мала надійного механізму обмеження для такого типу масових запитів, можна було з великою точністю перевірити, які номери відповідають активним обліковим записам у сервісі. Після підтвердження номера як існуючого облікового запису система дозволяла видобувати загальнодоступні дані, пов’язані з цим профілем, такі як фотографія, текст повідомлення (статус) і метадані, включаючи час останнього перебування користувача в мережі та відкритий ключ шифрування, хоча останній не становив прямого ризику для безпеки розмов. Процес було масштабовано, щоб охопити префікси з різних країн, включаючи восьми- та дев’ятизначні стандарти, що використовуються в Brasil, створивши справжній перепис користувачів програми.
Обсяг впливу даних на Brasil
На бразильському ринку дослідження виявило, що 206 мільйонів облікових записів були вразливі до техніки перерахування. Аналіз зібраних даних показав, що 81,4% цих користувачів користуються операційною системою Android, а 18,6% — пристроями iPhone. Сегментація Essa пропонує детальний огляд бази користувачів програми в країні та демонструє масштаби порушення безпеки, яке не залежало від платформи, яку використовував кінцевий споживач.
Головне занепокоєння полягає в типі інформації, яка стала доступною. Para 61% тестованих бразильських облікових записів, фотографія профілю була налаштована як загальнодоступна, і її можна було зібрати. Além Крім того, також були записані тексти статусу та інша інформація профілю. Володіння цими даними в поєднанні з номером телефону створює середовище, сприятливе для застосування складних шахрайств, таких як цілеспрямовані фішингові атаки, соціальна інженерія та спам-кампанії, де злочинці використовують особисту інформацію, щоб завоювати довіру жертви.
Як Meta реагував на сповіщення
Хронологія подій показує, що перше сповіщення про вразливість було надіслано дослідниками на Meta у вересні 2024 року.
Незважаючи на початкове попередження, перші заходи компанії щодо пом’якшення наслідків були реалізовані більш конкретно лише в серпні 2025 року.
Після нових раундів спілкування та тиску з боку академічної команди Meta нарешті розширив захист у вересні 2025 року, запровадивши суворіші обмеження на пошук і обмеживши перегляд фотографій профілю невідомими контактами.
Компанія визнала важливість відкриття через свою програму винагород Bug Bounty і співпрацювала з дослідниками, щоб гарантувати остаточне видалення даних, зібраних під час дослідження.
Подробиці наукового розслідування
Основною метою дослідження, проведеного Universidade з Viena, було підвищення обізнаності про системні ризики для конфіденційності на великомасштабних платформах, а не про зловмисне використання даних.
Дослідники зосередилися на демонстрації того, як відсутність елементарних елементів керування обмеженням запитів можна використати для відображення майже всієї бази користувачів глобальної служби.
Крім Brasil, розслідування виявило значні цифри на інших ринках, таких як Índia з 749 мільйонами користувачів і Indonésia з 235 мільйонами, що підтверджує глобальний характер збою.
Заходи захисту, реалізовані платформою
Щоб усунути порушення, Meta реалізував набір технологій захисту від сканування, призначених для виявлення та блокування автоматизованих і підозрілих дій.
Тепер ці системи відстежують обсяг і частоту запитів, що надходять з однієї IP-адреси, запобігаючи зловмисним програмам здійснювати масовий пошук, не впливаючи на звичайний досвід користувача.
Рекомендації щодо безпеки для користувачів
Враховуючи цей сценарій, важливість того, щоб користувачі періодично переглядали свої налаштування конфіденційності в програмі, посилюється. Важливо обмежити, хто може переглядати таку інформацію, як фотографія профілю, повідомлення та статус «востаннє в мережі», обмежуючи доступ лише до відомих і надійних контактів, щоб мінімізувати майбутні ризики.
