Μια έρευνα που διεξήχθη από ειδικούς ψηφιακής ασφάλειας από το Universidade του Viena, στο Áustria, έφερε στο φως μια κρίσιμη ευπάθεια στην πλατφόρμα WhatsApp. Το ελάττωμα επέτρεψε, μέσω μιας αυτοματοποιημένης διαδικασίας, τον εντοπισμό των αριθμών τηλεφώνου που σχετίζονται με ενεργούς λογαριασμούς, εκτός από τα δημόσια δεδομένα προφίλ, όπως φωτογραφίες και καταστάσεις, που ενδεχομένως επηρεάζουν ολόκληρη τη βάση των 3,5 δισεκατομμυρίων χρηστών σε 245 χώρες.
Η παραβίαση ασφαλείας ήταν ενεργή για αρκετούς μήνες, και διερευνήθηκε από ερευνητές σε ελεγχόμενο περιβάλλον μεταξύ Δεκεμβρίου 2024 και Απριλίου 2025. Η πλήρης μελέτη, που περιγράφει λεπτομερώς τη μεθοδολογία και τα αποτελέσματα, κυκλοφόρησε τον Νοέμβριο του 2025, χρησιμεύοντας ως προειδοποίηση προς την Meta, την εταιρεία ελέγχου της εφαρμογής, σχετικά με τους κινδύνους που συνδέονται με τη διαχείριση δεδομένων μεγάλης κλίμακας.
Το Brasil, που τοποθετείται ως η τρίτη μεγαλύτερη αγορά εφαρμογών ανταλλαγής μηνυμάτων, είχε τους 206 εκατομμύρια χρήστες του να εκτεθούν άμεσα από την ευπάθεια. Embora το ελάττωμα δεν έχει θέσει σε κίνδυνο την κρυπτογράφηση από άκρο σε άκρο που προστατεύει το περιεχόμενο των συνομιλιών, η έκθεση αριθμών τηλεφώνου και μεταδεδομένων προφίλ αντιπροσωπεύει σημαντικό κίνδυνο για το απόρρητο και την ασφάλεια των ατόμων.
Η Meta ανέφερε ότι εφάρμοσε τις απαραίτητες διορθώσεις για να μετριάσει το πρόβλημα τον Σεπτέμβριο του 2025, μήνες μετά την πρώτη επαφή των ερευνητών. Η εταιρεία δήλωσε ότι, μέχρι σήμερα, δεν έχει βρεθεί κανένα στοιχείο ότι αυτή η ευπάθεια έχει χρησιμοποιηθεί σε μεγάλη κλίμακα από κακόβουλους παράγοντες, αλλά η υπόθεση αναζωπυρώνει τη συζήτηση σχετικά με την προστασία δεδομένων σε ψηφιακές πλατφόρμες.
Πώς ανακαλύφθηκε το ελάττωμα ασφαλείας
Η ανακάλυψη της ευπάθειας στο WhatsApp ήταν το αποτέλεσμα ενός ακαδημαϊκού ερευνητικού έργου που επικεντρώθηκε στην ανάλυση της ευρωστίας των αρχιτεκτονικών ασφαλείας των εφαρμογών μαζικής επικοινωνίας. Η ομάδα Universidade από την Viena ανέπτυξε μια μεθοδολογία για να δοκιμάσει τα όρια των διακομιστών της πλατφόρμας, ειδικά στη λειτουργικότητα που επιτρέπει την αναζήτηση νέων επαφών για την έναρξη μιας συνομιλίας. Ο στόχος ήταν να επαληθευτεί εάν υπήρχαν αποτελεσματικοί μηχανισμοί ελέγχου για την αποτροπή της μαζικής συλλογής δεδομένων, μια πρακτική γνωστή ως «απόξεση». Με τις δοκιμές Durante, οι ερευνητές παρατήρησαν ότι το σύστημα δεν επέβαλε επαρκή όρια στον αριθμό των ερωτημάτων που θα μπορούσαν να πραγματοποιηθούν σε σύντομο χρονικό διάστημα. Essa Η απουσία περιορισμού του ρυθμού ήταν το κεντρικό σημείο που επέτρεψε την εξερεύνηση σε κλίμακα, μετατρέποντας ένα χαρακτηριστικό ευκολίας σε διάνυσμα για τη μαζική έκθεση των πληροφοριών επαφών και προφίλ των παγκόσμιων χρηστών.
Η τεχνική απαρίθμησης που χρησιμοποιείται στη διαδικασία
Η μέθοδος που χρησιμοποιήθηκε από τους ερευνητές, γνωστή ως επίθεση απαρίθμησης, συνίστατο στη δημιουργία προσαρμοσμένου λογισμικού που επικοινωνούσε απευθείας με τους διακομιστές WhatsApp. Το πρόγραμμα Esse παρήγαγε συστηματικά ακολουθίες πιθανών τηλεφωνικών αριθμών, με βάση τις μορφές και τα προθέματα που ισχύουν για κάθε χώρα. Στην περίπτωση του Brasil, για παράδειγμα, το σύστημα προγραμματίστηκε να δοκιμάζει συνδυασμούς με οκτώ και εννέα ψηφία, που καλύπτουν ολόκληρο το φάσμα των ενεργών αριθμών κινητής τηλεφωνίας στην εθνική επικράτεια.
Μόλις ένας συνδυασμός αριθμών που δημιουργήθηκε ταίριαζε με έναν ενεργό λογαριασμό WhatsApp, οι διακομιστές απάντησαν θετικά, επιστρέφοντας δημόσιες πληροφορίες που σχετίζονται με αυτό το προφίλ. Τα δεδομένα που συλλέχθηκαν περιελάμβαναν όχι μόνο την επιβεβαίωση της ύπαρξης του λογαριασμού, αλλά και τη φωτογραφία προφίλ (αν είχε διαμορφωθεί ως δημόσια), το κείμενο κατάστασης και το δημόσιο κλειδί που χρησιμοποιήθηκε για την κρυπτογράφηση. Η διαδικασία ήταν εξαιρετικά αποτελεσματική, φτάνοντας σε κορυφές έως και 7.000 αναζητήσεις ανά δευτερόλεπτο, γεγονός που επέτρεψε τη χαρτογράφηση ενός τεράστιου αριθμού προφίλ σε σχετικά σύντομο χρονικό διάστημα.
Κίνδυνοι για τους Βραζιλιάνους χρήστες
Για τους 206 εκατομμύρια χρήστες στο Brasil, η έκθεση αριθμών τηλεφώνου αποτελεί πραγματικό κίνδυνο. Έχοντας αυτές τις πληροφορίες στο χέρι, οι εγκληματίες μπορούν να ενορχηστρώσουν επιθέσεις κοινωνικής μηχανικής, όπως απάτες phishing, στις οποίες υποδύονται γνωστά ιδρύματα ή επαφές για να κλέψουν ευαίσθητα ή οικονομικά δεδομένα.
Η έρευνα αποκάλυψε ότι το 61% των λογαριασμών της Βραζιλίας που αναλύθηκαν είχαν τις φωτογραφίες του προφίλ τους ορατές σε οποιονδήποτε. Η εικόνα Essa μπορεί να χρησιμοποιηθεί για τη δημιουργία πλαστών προφίλ, την πραγματοποίηση απατών στο όνομα του θύματος ή ακόμα και για σκοπούς παρενόχλησης και ψηφιακής καταδίωξης, αυξάνοντας την ευπάθεια των χρηστών.
Επιπλέον, η απλή επιβεβαίωση ότι ένας αριθμός τηλεφώνου είναι ενεργός και συνδεδεμένος με έναν λογαριασμό WhatsApp είναι ήδη πολύτιμες πληροφορίες στην παράνομη αγορά δεδομένων. Οι αριθμοί Esses μπορούν να πωληθούν σε λίστες σε καταχρηστικές εταιρείες τηλεμάρκετινγκ ή σε φορείς εκμετάλλευσης εκστρατειών ανεπιθύμητης αλληλογραφίας και παραπληροφόρησης.
Μέτρα που εφαρμόστηκαν από τον Meta
Αφού ειδοποιήθηκε για πρώτη φορά τον Σεπτέμβριο του 2024, ο Meta, σύμφωνα με την έκθεση των ερευνητών, πήρε χρόνο για να εφαρμόσει μια οριστική λύση. Τα πρώτα μέτρα περιορισμού παρατηρήθηκαν μόλις τον Αύγουστο του 2025, σχεδόν ένα χρόνο μετά τον αρχικό συναγερμό.
Η εταιρεία εισήγαγε επιτέλους πιο ισχυρούς μηχανισμούς «αντι-απόξεσης». Τα τεχνικά εμπόδια Essas έχουν σχεδιαστεί για να ανιχνεύουν και να αποκλείουν μαζικές δραστηριότητες ερωτημάτων, όπως αυτές που εκτελούνται στη μελέτη, χωρίς να επηρεάζουν τη μέση εμπειρία χρήστη.
Ως αναγνώριση του ελαττώματος, η ομάδα Universidade του Viena συμπεριλήφθηκε στο πρόγραμμα Meta “Bug Bounty”, το οποίο επιβραβεύει οικονομικά τους ειδικούς που αναφέρουν ευπάθειες ασφαλείας με υπευθυνότητα.
Η εταιρεία επιβεβαίωσε επίσης ότι οι ερευνητές ενήργησαν δεοντολογικά και ότι όλα τα δεδομένα που συλλέχθηκαν κατά τη διάρκεια της μελέτης διαγράφηκαν σωστά μετά την ολοκλήρωση της ανάλυσης, διασφαλίζοντας ότι δεν χρησιμοποιήθηκαν για άλλους σκοπούς.
Χρονοδιάγραμμα από την ανακάλυψη στην αποκατάσταση
Η σειρά των γεγονότων υπογραμμίζει το χρόνο που μεσολάβησε μεταξύ της αρχικής προειδοποίησης και της πλήρους επίλυσης του προβλήματος. Η ερευνητική ομάδα χρειάστηκε να πραγματοποιήσει αρκετούς γύρους δοκιμών και επαφών για να διασφαλίσει ότι η σοβαρότητα της κατάστασης έγινε κατανοητή και αντιμετωπιστεί από την εταιρεία. Τα κυριότερα ορόσημα ήταν:
- Σεπτέμβριος 2024: Το αρχικό Alerta στάλθηκε στο Meta από τον Universidade του Viena.
- Δεκέμβριος 2024 έως Απρίλιος 2025: Período δοκιμών απαρίθμησης σε πολλές χώρες, συμπεριλαμβανομένου του Brasil.
- Αύγουστος 2025: Implementação από τις πρώτες άμυνες ενάντια στις μαζικές αυτοματοποιημένες αναζητήσεις.
- Σεπτέμβριος 2025: Ampliação όρια προβολής προφίλ και φωτογραφιών για άγνωστες επαφές.
- Νοέμβριος 2025: Publicação επίσημη μελέτη με την απελευθέρωση παγκόσμιων δεδομένων.
Η παγκόσμια εμβέλεια της ευπάθειας
Η μελέτη δεν περιορίστηκε στο Brasil, χαρτογραφώντας την έκθεση των χρηστών σε πλανητική κλίμακα. Ο Índia ηγήθηκε της κατάταξης με 749 εκατομμύρια δυνητικά επηρεασμένους χρήστες, ακολουθούμενος από τον Indonésia, με 235 εκατομμύρια. Οι αριθμοί Esses αντικατοπτρίζουν την τεράστια δημοτικότητα της εφαρμογής στις αναδυόμενες αγορές.
Η ικανότητα εκτέλεσης έως και 100 εκατομμυρίων ερωτημάτων ανά ώρα κατά τη διάρκεια δοκιμών αιχμής καταδεικνύει το μέγεθος της αποτυχίας. Η συλλογή δεδομένων επέτρεψε τη δημιουργία μιας άτυπης απογραφής του οικοσυστήματος WhatsApp, αποκαλύπτοντας διαφορετικά πρότυπα χρήσης και ρυθμίσεις απορρήτου μεταξύ διαφορετικών περιοχών του κόσμου.