Vulnerabilitate majoră WhatsApp: numerele de telefon a 3,5 miliarde de utilizatori au putut fi expuse

O vulnerabilitate critică în mecanismul de funcționare al WhatsApp a permis, teoretic, extragerea numărului de telefon pentru aproape fiecare utilizator al platformei de mesagerie. Cercetători de la Universitatea din Viena au demonstrat că, folosind un exploit relativ simplu, au putut obține un set de date cu 3,5 miliarde de numere de telefon, alături de informații asociate precum nume afișate și, în unele cazuri, fotografii de profil.

Ceea ce face situația și mai gravă este faptul că Meta fusese avertizată despre această problemă încă din 2017, dar protecțiile necesare nu au fost implementate decât recent, după noul studiu.

Cum funcționa exploit-ul: o funcție utilă transformată în vector de atac

Succesul WhatsApp se bazează și pe simplitatea cu care utilizatorii pot găsi contacte: introduci un număr de telefon, iar aplicația îți arată imediat dacă persoana respectivă folosește serviciul, împreună cu numele de profil și, adesea, o fotografie.

Cercetătorii au arătat că aceeași funcționalitate poate fi abuzată la scară masivă:

• sistemul nu impunea limite stricte pentru numărul de verificări de telefon efectuate;
• prin generarea sistematică a aproape tuturor combinațiilor posibile de numere, se putea verifica automat cine are cont de WhatsApp;
• pentru fiecare număr valid, erau recuperate detalii de profil publice.

În doar 30 de minute, echipa a reușit să obțină circa 30 de milioane de numere de telefon din SUA, continuând apoi procesul până la un total de 3,5 miliarde de înregistrări. Cercetătorul Aljosha Judmayer descrie această situație drept probabil „cea mai extinsă expunere de numere de telefon și date asociate” documentată până acum.

Avertisment ignorat: problema era cunoscută din 2017

O parte esențială a scandalului ține de cronologie. Un alt cercetător în domeniul securității semnalase încă din 2017 faptul că WhatsApp nu limita în mod eficient numărul de interogări, permițând astfel atacuri de tip enumerare la scară globală.

Cu toate acestea, potrivit studiului recent, vulnerabilitatea a rămas exploatabilă ani la rând. Abia după demersurile echipei austriece, Meta a introdus un mecanism de limitare a cererilor (rate limiting) pentru a bloca acest tip de colectare automată de date.

Cercetătorii au acționat responsabil:

• au demonstrat tehnic posibilitatea exploatării;
• au notificat Meta în cadrul programului oficial de tip bug bounty;
• au șters setul de date după încheierea cercetării.

Meta: „Nu avem dovezi că vulnerabilitatea a fost abuzată de actori rău intenționați”

Meta a transmis că nu a găsit până acum dovezi că același exploit ar fi fost folosit de hackeri sau grupuri de criminalitate informatică. Compania susține că lucra deja la sisteme anti-scraping mai avansate și că studiul Universității din Viena a contribuit la testarea și validarea noilor mecanisme de apărare.

Într-o poziție oficială, WhatsApp subliniază:

• datele colectate de cercetători erau informații de bază, aflate oricum în zona publică a profilului;
• mesajele utilizatorilor au rămas protejate prin criptare end-to-end și nu au fost accesibile prin acest exploit;
• baza de date creată pentru studiu a fost ștearsă în siguranță.

Chiar și în aceste condiții, experții în securitate atrag atenția că simpla obținere masivă a numerelor de telefon reprezintă un risc major, fiind un punct de plecare pentru campanii de phishing, fraudă, atacuri de tip smishing sau tentative de inginerie socială.

De ce este problema atât de gravă: riscuri reale pentru confidențialitate

În mod izolat, faptul că o aplicație îți confirmă dacă un număr are sau nu cont nu pare, la prima vedere, o vulnerabilitate gravă. Însă la scară globală, în lipsa unor limite și controale stricte, același mecanism se transformă într-un instrument puternic pentru:

• construirea de baze de date cu numere de telefon asociate unor identități reale;
• maparea rețelelor de utilizatori la nivel global;
• creșterea eficienței campaniilor de spam sau fraudă direcționată.

Pentru cei mai mulți utilizatori, numărul de telefon rămâne una dintre cele mai sensibile și greu de schimbat informații de contact. O scurgere de acest tip este, din perspectiva protecției datelor, comparabilă cu un „ID global” expus, mai ales când este combinat cu nume și fotografii.

Ce pot face utilizatorii de WhatsApp în acest context

Deși vulnerabilitatea specifică folosită de cercetători este, potrivit Meta, acum blocată, cazul ridică întrebări mai largi despre modul în care aplicațiile de mesagerie gestionează descoperirea contactelor și expunerea datelor de profil.

Utilizatorii pot lua câteva măsuri de precauție:

• verificarea și restricționarea vizibilității numelui și fotografiei de profil doar pentru contacte;
• activarea setărilor de confidențialitate stricte pentru „Last seen”, „About” și status;
• prudență sporită în fața mesajelor nesolicitate, chiar dacă par să vină pe numărul personal;
• utilizarea autentificării în doi pași pentru protejarea contului.

În același timp, cazul readuce în discuție responsabilitatea platformelor mari de mesagerie de a implementa limite stricte pentru interogările automate, mai ales atunci când funcțiile lor sunt ușor „scalabile” în scopuri nedorite.

Concluzie: un semnal de alarmă pentru ecosistemul de mesagerie

Incidentul legat de vulnerabilitatea WhatsApp nu a dus, din fericire, la o scurgere confirmată de date către actori rău intenționați, conform declarațiilor Meta. Totuși, faptul că o breșă relativ simplă, semnalată încă din 2017, a rămas neacoperită ani de zile ridică semne de întrebare privind prioritizarea securității la nivelul unor servicii folosite de miliarde de oameni.

Chiar dacă mesajele rămân criptate end-to-end, expunerea masivă a numerelor de telefon și a datelor de profil arată cât de subțire poate fi granița dintre o funcție utilă și un vector de atac la scară globală. Pentru utilizatori, cazul este un nou reminder că securitatea și confidențialitatea nu se opresc la conținutul mesajelor, ci includ și meta-datele și modul în care aplicațiile gestionează identitatea digitală.