Исследователи из Венского университета заявили, что обнаружили уязвимость в WhatsApp, которая позволила им собрать данные более 3,5 млрд пользователей. По их мнению, это может быть крупнейшей утечкой данных в истории.

Авторы отчета пишут, что WhatsApp позволяет искать пользователей по номеру телефона, и функция существует уже много лет. Исследователи использовали ее для массового перебора данных: с помощью инструмента на базе библиотеки Google libphonenumber они сгенерировали 63 млрд телефонных номеров и проверяли их со скоростью 7000 в секунду.

К удивлению исследователей, WhatsApp не заблокировал их IP-адреса и аккаунты, а также не применил никаких эффективных ограничений частоты запросов. В результате специалисты смогли собирать данные со скоростью более 100 млн аккаунтов в час, в итоге подтвердив существование 3,5 млрд зарегистрированных номеров (это больше, чем официально заявленные 2 млрд пользователей WhatsApp).

Более 57% собранных аккаунтов имели фото профиля, причем две трети из них содержали распознаваемые лица. Еще у 29% в профиле присутствовал текст, который порой содержал чувствительную информацию о сексуальной ориентации и политических взглядах, ссылки на LinkedIn и Tinder, рабочие email-адреса и так далее.

В итоге исследователи сумели связать некоторые телефонные номера с государственными чиновниками и представителями военных ведомств.

Отдельно в отчете упоминается тот факт, что WhatsApp запрещен в Китае, Мьянме, Северной Корее и ряде других стран. Тем не менее специалистам удалось обнаружить миллионы активных аккаунтов, связанных с номерами из этих регионов. При этом в некоторых странах за обход блокировок грозит арест и наказание. Кроме того, базы активных номеров — готовый инструмент для спамеров, фишеров и организаторов роботизированных звонков.

Эксперты сообщили разработчикам Meta (компания признанной экстремистской и запрещена в РФ) о проблеме через программу bug bounty, однако ответ от компании специалистам удалось получить только через год — после того, как команда прислала Meta препринт статьи и уведомила о своем намерении обнародовать исследование.

Нитин Гупта (Nitin Gupta), вице-президент по инжинирингу WhatsApp, поблагодарил исследователей за «ответственное партнерство» и заявил СМИ, что в компании уже ведется работа над системами защиты от скапинга. По его словам, исследование помогло провести стресс-тест новых защитных механизмов.

Авторы исследования подтверждают, что после внедрения контрмер использованные ими методы перестали работать: теперь аккаунты блокируются в случае попыток массового перебора данных.

Исследователи подчеркивают, что удалили все собранные данные, а представители Meta заявляют, что не обнаружили доказательств использования подобного вектора атак злоумышленниками. Также подчеркивается, что сообщения пользователей защищены сквозным шифрованием и не были доступны исследователям.