En feil i systemet som WhatsApp identifiserer kontakter med i adresseboken har gjort det mulig for en gruppe akademikere gjenoppbygge en global database med over 3,5 milliarder aktive kontoer. Vi snakker ikke om innholdet i meldingene, som forble beskyttet, men om en enorm mengde personlige metadata (telefonnumre, profilbilder, informasjonstekster og til og med elementer knyttet til kryptering) tilgjengelig uten å overskride sikkerhetsterskler eller pådra seg automatiske blokkeringer. Sårbarheten ble identifisert av en gruppe forskere fra Universitetet i Wien – Gabriel Gegenhuber, Philipp É. Frenzel, Maximilian Günther, Johanna Ullrich Og Alyosha Judmayer – og vil bli beskrevet i detalj i en studie akseptert på konferansen NDSS 2026en av de viktigste vitenskapelige begivenhetene dedikert til sikkerheten til datasystemer. Mellom desember 2024 Og april 2025analyserte teamet den interne funksjonen til «contact discovery»-mekanismen, det vil si funksjonen som lar WhatsApp fortelle oss hvilke numre i adresseboken vår som allerede er registrert med tjenesten. Denne prosessen skjer via programmeringsgrensesnitt, såkalte APIer, som lar programvare automatisk spørre et annet system.
Hvordan forskere ekstrapolerte data fra over 3 milliarder WhatsApp-kontoer
Gjennom en operasjon av reverse engineeringdvs. rekonstruksjonen av funksjonen til et system med utgangspunkt i dets ytre oppførsel, har forskere oppdaget at et spesifikt API kan spørres uten frekvensgrenser. Enkelt sagt var det ikke et tilstrekkelig system på plass for å begrense antall forespørsler som er tillatt i en viss tidsramme for å forhindre misbruk. Ved å bruke en enkelt universitetsserver og bare fem legitime WhatsApp-kontoer, var gruppen i stand til å bekrefte mer enn 100 millioner telefonnumre i timen! Og alt dette uten å bli blokkert av Meta-plattformen.
For å gjøre angrepet realistisk på global skala utviklet forskerne et system som er i stand til å generere plausible kombinasjoner av mobiltelefonnumre fra 245 land, for totalt 63 milliarder potensielle kontakter. Disse tallene ble deretter verifisert via protokollen XMPPen åpen standard for sanntidsmeldinger, som bruker en modifisert åpen kildekode-klient kalt whatsmeow. Ved maksimal hastighet bekreftet systemet ca 7000 tall per sekund som faktisk registrert på WhatsApp.
Resultatet ble en datasett med over 3,5 milliarder kontoeri tråd med det totale antallet aktive brukere deklarert av plattformen. For hver konto kan flere elementer observeres. Mer enn halvparten av brukerne globalt hadde et offentlig profilbildemed enda høyere prosenter i noen områder i Vest-Afrika. Omtrent en tredjedel viste synlig informasjonstekst, ofte brukt som status, som i noen tilfeller inneholdt referanser til politiske meninger, religiøs overbevisning, seksuell legning eller lenker til andre sosiale nettverk. Nesten 9 % ble merket som bedriftskontoerofte fordi brukere hadde valgt WhatsApp Business uten å være helt klar over hvordan dette valget øker synligheten til enkelte data.
Et mer teknisk aspekt angår kryptografiske nøkler. End-to-end-kryptering, som beskytter meldinger, er basert på par med kryptografiske nøkler: en offentlig, som er delt, og en privat, som er hemmelig. Forskerne identifiserte ca 2,9 millioner tilfeller av unormal gjenbruk av offentlige nøklerinkludert identitetsnøkler og forhåndsnøkler, som i stedet bør være unike. I ekstreme tilfeller, for eksempel 20 amerikanske numre knyttet til en nøkkel som utelukkende består av nuller, tyder dataene på bruk av uoffisielle klienter eller feilaktige implementeringer, med potensielle innvirkninger på integriteten til det kryptografiske systemet.
Studien belyser også et geopolitisk problem: kontoer knyttet til land der WhatsApp er offisielt forbudthvordan Kina, Iran, Myanmar Og Nord-Koreaviste de seg lett identifiserbar. I sammenhenger med statlig overvåking kan den enkle identifiserbarheten til disse brukerne øke personlige risikoer, selv uten tilgang til innholdet i samtalene (bare å registrere seg på WhatsApp utgjør en forbrytelse).
Meta ble informert om feilen
Meta ble varslet via bug bounty-programmet iapril 2025 og innført strengere grenser fra oktober samme år, stille å rette feilen. Når det gjelder hendelsen, som var mildt sagt svært alvorlig (som heldigvis hadde en lykkelig slutt gitt at problemet ble identifisert av en gruppe forskere og ikke av nettkriminelle), Nitin GuptaWhatsApps visepresident for ingeniørfag, ga ut denne uttalelsen:
Vi er takknemlige for forskere ved universitetet i Wien for deres ansvarlige samarbeid og flid som en del av vårt program for bug-bounty. Dette samarbeidet identifiserte vellykket en ny oppregningsteknikk som overskred forventede begrensninger, slik at forskere kan samle offentlig tilgjengelig grunnlinjeinformasjon. Vi jobbet allerede med bransjeledende anti-skrapingsystemer, og denne studien var avgjørende for å teste og bekrefte den umiddelbare effektiviteten til disse nye forsvarene. Det er viktig å understreke det forskerne slettet de innsamlede dataene på en sikker måte som en del av studien, og vi fant ingen bevis for at ondsinnede aktører misbrukte denne vektoren. Husk at brukermeldinger forble private og sikre takket være WhatsApps standard ende-til-ende-kryptering og at forskere ikke hadde tilgang til ikke-offentlige data.
Faktum er fortsatt at hendelsen representerte en svært alvorlig hendelse, som forskerne selv definerte som «den største eksponeringen av telefonnumre og tilhørende brukerdata som noen gang er dokumentert» og som ifølge dem ville representere på balanse «den største datalekkasjen i historien, hvis den ikke hadde blitt utført som en del av ansvarlig utført forskning».
