Легальна функція пошуку контактів у WhatsApp виявилася придатною для масового збору метаданих користувачів. Команда дослідників з Віденського університету продемонструвала, що за допомогою автоматизованого перебору номерів можна підтвердити існування понад 3,5 млрд активних акаунтів та зібрати значний обсяг публічно доступної інформації про них.
Як пошук за номером у WhatsApp перетворився на інструмент скрапінгу
Ключова особливість WhatsApp — ідентифікація користувачів за номером телефону. Ця можливість не є помилкою як такою, однак вона виявилася вразливою до enumeration-атак — масового перебору номерів — та скрапінгу, тобто автоматизованого збору даних із відкритих профілів.
Масштаб перебору: 63 млрд номерів і 7000 запитів на секунду
Дослідники використали бібліотеку Google libphonenumber, яка дозволяє генерувати коректні телефонні номери для різних країн. Було сформовано близько 63 млрд потенційних номерів, кожен з яких автоматично перевірявся через інтерфейси WhatsApp. Швидкість запитів сягала орієнтовно 7000 звернень за секунду, при цьому ефективні обмеження частоти запитів фактично були відсутні.
Ні IP-адреси, ні тестові акаунти дослідників протягом експерименту не блокувалися. Це дало змогу збирати дані більш ніж про 100 млн акаунтів на годину та підтвердити існування 3,5 млрд зареєстрованих номерів у WhatsApp. Ця цифра помітно перевищує офіційно декларовані 2 млрд користувачів, що вказує на великий обсяг неактивних або дубльованих записів.
Які метадані користувачів WhatsApp опинилися під загрозою
Зміст листування не розкривався — сквозне шифрування (end-to-end encryption) не було скомпрометоване. Однак зібрані метадані акаунтів становлять значну цінність для зловмисників, аналітичних компаній і структур, що займаються OSINT-розвідкою.
За результатами дослідження, понад 57% виявлених акаунтів мали фотографію профілю, причому близько двох третин цих зображень містили впізнавані обличчя. Для систем розпізнавання облич і подальшої ідентифікації в інших сервісах цього більш ніж достатньо.
Близько 29% користувачів вказали текстовий статус. У таких статусах часто траплялася чутлива інформація: від політичних поглядів і даних про сексуальну орієнтацію до посилань на LinkedIn, Tinder, робочі e‑mail-адреси та інші персональні відомості. Аналіз цих даних дозволив пов’язати частину номерів із державними службовцями та військовими, що робить подібні бази особливо цінними для цільового фішингу, шпигунства та соціальної інженерії.
Ризики для країн, де WhatsApp формально заблокований
Окремий вимір загрози пов’язаний із державами, де WhatsApp офіційно заборонений або обмежений — серед них Китай, М’янма, КНДР та інші режими з жорстким контролем інтернету. Попри блокування, дослідники виявили мільйони активних акаунтів, прив’язаних до місцевих номерів.
У таких юрисдикціях сам факт використання забороненого месенджера через VPN чи проксі може мати серйозні юридичні наслідки, аж до арешту. Сегментовані за країнами та, ймовірно, за посадами бази активних номерів стають готовим інструментом для масового спаму, фішингових кампаній і роботизованих дзвінків, а в поєднанні з даними соцмереж — для створення детальних досьє на громадян.
Реакція Meta та посилення захисту від масового збору даних
Інформація про вразливість була передана компанії Meta через програму винагород за знайдені баги. За словами дослідників, розгорнутий зворотний зв’язок від компанії надійшов лише приблизно через рік — після надсилання препринту наукової статті та повідомлення про плани її оприлюднення.
Представники WhatsApp заявили, що результати стали стрес-тестом для нових механізмів протидії скрапінгу. За оцінкою авторів дослідження, після впровадження контрзаходів раніше використані методики перестали працювати: при спробах масового перебору номерів акаунти швидко блокуються, а антибот-захист став суттєво жорсткішим. Дослідники також підтвердили, що повністю видалили зібрані дані, а Meta заявила, що не виявила ознак масового зловмисного використання цього вектора атаки до публікації роботи.
Системна проблема скрапінгу: не шифруванням єдиним
Ситуація з WhatsApp демонструє, що для підриву приватності користувачів не обов’язково ламати криптографію. Достатньо масштабувати законну функцію — у цьому випадку пошук за номером — до промислового рівня та обійти слабкі ліміти частоти запитів. Подібні сценарії характерні не лише для месенджерів, а й для соцмереж, сервісів оголошень, служб таксі та будь-яких платформ, де доступний пошук за ідентифікатором (телефон, e‑mail, логін).
Користувачам варто мінімізувати обсяг публічних даних у WhatsApp: обмежити видимість фото профілю та статусу колом контактів, уникати публікації робочих e‑mail-адрес, посилань на соцмережі та чутливої інформації. Організаціям і розробникам сервісів доцільно впроваджувати жорсткіші rate‑limit-и, поведінкову аналітику ботів і захист від скрапінгу, закладаючи ці вимоги в архітектуру ще на етапі проєктування. Усвідомлення цінності навіть «безневинних» метаданих і системна робота з ризиками — ключ до реальної кіберстійкості в епоху масового збору даних.
