Исследование группы специалистов из Венского университета показало, как легальная функция поиска в WhatsApp может превратиться в инструмент массового сбора данных. С ее помощью ученые в лабораторных условиях подтвердили существование более 3,5 млрд активных аккаунтов, что делает инцидент одним из крупнейших кейсов по экспозиции пользовательских метаданных в истории мессенджеров.
Механизм атаки: перебор номеров и отсутствие ограничений
Ключевая особенность WhatsApp — поиск пользователей по номеру телефона. Эта функция присутствует в сервисе много лет и сама по себе не является ошибкой. Проблема заключается в том, что она оказалась уязвима к массовому перебору номеров (enumeration) и скрапингу — автоматизированному сбору данных из открытых источников.
Исследователи использовали инструмент на базе библиотеки Google libphonenumber, которая генерирует корректные телефонные номера для разных стран. Было создано около 63 млрд потенциальных номеров, после чего каждый из них автоматически проверялся через интерфейсы WhatsApp со скоростью примерно 7000 запросов в секунду. Удивительно, но ни IP-адреса, ни тестовые аккаунты ученых не блокировались, а эффективные лимиты частоты запросов практически отсутствовали.
В результате команда смогла собирать сведения более чем о 100 млн аккаунтов в час, подтвердив существование 3,5 млрд зарегистрированных номеров. Это существенно превышает официально заявленную аудиторую WhatsApp в 2 млрд пользователей, что указывает на большое количество неактивных либо неучтенных записей.
Какие данные пользователей оказались под угрозой
Собираемая информация не включала содержимое сообщений — они защищены сквозным шифрованием (end-to-end encryption). Однако метаданные аккаунтов сами по себе представляют высокую ценность для злоумышленников и аналитических компаний. По данным исследования, более 57% обнаруженных аккаунтов имели фотографию профиля, причем около двух третей этих изображений содержали распознаваемые лица.
У примерно 29% пользователей в профиле был указан текстовый статус. Нередко туда попадала чувствительная информация: данные о сексуальной ориентации и политических взглядах, ссылки на LinkedIn и Tinder, рабочие email-адреса и другая персональная информация. Проведенный анализ позволил связать ряд номеров с государственными служащими и представителями военных структур, что повышает потенциальную ценность такой базы для разведки, шпионажа и целевых фишинговых атак.
Риски для стран, где WhatsApp заблокирован
Отдельный пласт угроз связан со странами, где WhatsApp формально запрещен, в том числе Китаем, Мьянмой, КНДР и рядом других государств. Несмотря на блокировки, исследователям удалось обнаружить миллионы активных аккаунтов, привязанных к номерам из этих регионов. Для граждан таких стран сам факт использования мессенджера через VPN или прокси может иметь юридические последствия вплоть до ареста.
Скомпилированные базы активных номеров, сегментированные по странам и, возможно, по должностям, представляют собой готовый инструмент для спам-кампаний, фишинга и роботизированных звонков. В сочетании с данными из соцсетей подобные массивы позволяют создавать детальные досье на пользователей — от простой таргетированной рекламы до политического давления и социальной инженерии.
Реакция Meta и усиление защиты от скрапинга
Информация об уязвимости была передана компании Meta (признана экстремистской и запрещена в РФ) через баг-баунти-программу. По сообщениям исследователей, полноценный ответ был получен лишь спустя около года — после отправки препринта научной статьи и уведомления о планируемой публикации результатов.
Вице-президент по инжинирингу WhatsApp Нитин Гупта поблагодарил команду за «ответственное партнерство» и заявил, что полученные данные использовались как стресс-тест для новых систем защиты от скрапинга. По утверждению авторов отчета, после внедрения контрмер применявшиеся ими методы перестали работать: при попытке массового перебора номеров аккаунты оперативно блокируются, а механизмы антибот-защиты стали существенно жестче.
Исследователи заверили, что полностью удалили все собранные данные, а представители Meta подчеркнули, что не выявили признаков эксплуатации подобного вектора атаки реальными злоумышленниками. При этом еще раз было подтверждено, что сквозное шифрование сообщений не было скомпрометировано.
Экспертный разбор: системный характер проблемы
Скрапинг как неизбежный риск открытых функций
Инцидент с WhatsApp наглядно демонстрирует, что необязательно взламывать шифрование, чтобы подорвать приватность пользователей. Достаточно масштабировать законную функциональность — в данном случае поиск по номеру — до индустриального уровня и обойти слабые механизмы защиты от автоматизации. Подобные сценарии характерны не только для мессенджеров, но и для соцсетей, сервисов объявлений и любых платформ, где есть поиск по идентификатору.
