Grupa istraživača s Sveučilišta u Beču uspjela je jednostavnim automatiziranim upitima izvući čak 3,5 milijarde brojeva mobilnih telefona registriranih na WhatsAppu, zajedno s pripadajućim profilnim fotografijama i tekstom „about” koji korisnici objavljuju.
„To je, koliko nam je poznato, najopsežnije izlaganje telefonskih brojeva i povezanih korisničkih podataka ikada zabilježeno”, izjavio je Aljosha Judmayer, koautor studije. Tim je putem web-sučelja platforme ispituo približno sto milijuna brojeva na sat, jer sustav nije ograničavao broj upita (tzv. rate-limiting).
Ključni nalazi
• 3,5 milijarde telefonskih brojeva izdvojeno je iz WhatsAppove funkcije pronalaska kontakata.
• Za 57 % korisnika dostupne su bile profilne fotografije, a za 29 % i tekstualne poruke u opisu profila.
• U SAD-u je 44 % od analiziranih 137 milijuna računa javno prikazivalo fotografiju, a 33 % opis profila. U Indiji, gdje je otkriveno gotovo 750 milijuna brojeva, 62 % računa imalo je javne fotografije; u Brazilu (206 milijuna brojeva) taj je udio bio 61 %.
• Istraživači su locirali milijune brojeva iz zemalja u kojima je aplikacija zabranjena, među njima 2,3 milijuna iz Kine i 1,6 milijuna iz Mjanmara, što otvara mogućnost za represiju prema korisnicima.
• Analiza je pokazala i višestruko korištenje istih kriptografskih ključeva, uključujući 20 američkih brojeva s ključem koji se sastojao od samih nula – što upućuje na nezavisne ili neovlaštene klijente s narušenom enkripcijom.
Meta reagirala tek nakon dojave
Istraživači su u travnju upozorili vlasnika aplikacije, tvrtku Meta, i izbrisali prikupljene podatke. Kompanija je tek u listopadu pojačala mehanizme ograničavanja upita, čime je onemogućila masovno prikupljanje brojeva istom metodom.
U pisanoj reakciji Nitin Gupta, potpredsjednik inženjeringa za WhatsApp, zahvalio je istraživačima i naglasio da se radilo o „osnovnim javno dostupnim informacijama” te dodao: „We have found no evidence of malicious actors abusing this vector… poruke su i dalje zaštićene end-to-end enkripcijom.”
Ipak, bečki tim tvrdi da tijekom eksperimenta uopće nisu nailazili na zaštitu: sustav im je omogućio masovno ispitivanje brojeva bez ikakvih prepreka. Sličan problem prvi je put javno opisan još 2017., no osam godina kasnije pokazalo se da su obrambene mjere bile nedostatne.
Strukturni problem brojeva telefona
Istraživači upozoravaju da telefonski brojevi nemaju dovoljno „nasumičnosti” da bi služili kao jedinstveni identifikator za uslugu s više od tri milijarde korisnika. Dok god WhatsApp oslanja na takav sustav prepoznavanja kontakata, jedina zaštita ostaje ograničavanje upita – a ono se, pokazalo se, može probiti.
WhatsApp trenutačno testira mogućnost korištenja korisničkih imena, što bi, nadaju se stručnjaci, moglo ponuditi bolje rješenje za privatnost. Do tada, ostaje činjenica da je golem dio svjetske populacije bio izložen najvećem potencijalnom curenju podataka u povijesti – i to zbog pogodnosti jednostavnog dodavanja kontakata.