Austriaccy badacze z Uniwersytetu Wiedeńskiego i SBA Research ujawnili, że byli w stanie wyliczyć i potwierdzić aktywne konta dla wszystkich 3,5 miliarda użytkowników WhatsApp. Co gorsza, dla ponad połowy z nich (ok. 57%) uzyskali dostęp do publicznych zdjęć profilowych, a dla kolejnych 29% – do statusu tekstowego. Co było kluczem do tego cybernetycznego wyczynu? Żadne zaawansowane sztuczki hakerów, a jedynie banalne, masowe zapytania. To pokazuje, że nawet najbardziej dojrzałe i zaufane globalne systemy komunikacyjne mogą mieć fundamentalne wady projektowe.
WhatsApp przez lata ujawniał numery telefonów miliardów użytkowników
Samo „odkrywanie kontaktów” w WhatsApp działa w prosty sposób: aplikacja używa książki adresowej użytkownika, by sprawdzić, które z zapisanych numerów mają aktywne konto. Austriaccy badacze wykorzystali dokładnie ten mechanizm – ale na skalę, której system Meta najwyraźniej nie przewidział. Dzięki wykorzystaniu interfejsu WhatsApp Web badacze byli w stanie generować ponad 100 milionów zapytań o numery telefonów na godzinę. Jak wyjaśnia główny autor badania, Gabriel Gegenhuber:
Normalnie, system nie powinien odpowiadać na tak dużą liczbę zapytań w tak krótkim czasie – szczególnie pochodzących z jednego źródła. To zachowanie ujawniło ukrytą wadę, która pozwoliła nam wysyłać w zasadzie nieograniczoną liczbę zapytań do serwera i w ten sposób zmapować dane użytkowników na całym świecie.
W ten sposób badacze potwierdzili 3,5 miliarda aktywnych kont w 245 krajach.
Czytaj też: Nie lubisz Siri? Apple pozwoli Ci zmienić asystenta na Gemini lub Alexę
Chociaż badacze nie mieli dostępu do treści wiadomości (które pozostają chronione przez szyfrowanie E2EE), uzyskali dane, które są domyślnie publiczne dla każdego, kto zna numer:
- Numery telefonów, klucze publiczne i znaczniki czasowe.
- Publiczne zdjęcia profilowe (dla 57%) i status tekstowy (dla 29%).
Co ciekawe, nawet te ograniczone dane pozwoliły na wyciągnięcie wniosków na poziomie populacji, np.:
- Systemy operacyjne — globalny rozkład użytkowników: 81% Android vs. 19% iOS.
- Globalne użycie — odkryto miliony aktywnych kont w krajach, w których WhatsApp jest oficjalnie zakazany (np. Chiny, Iran, Mjanma).
- Ryzyko z przeszłości — prawie połowa numerów, które wyciekły podczas incydentu scrapingowego na Facebooku w 2018 roku, była wciąż aktywna w WhatsAppie, co podkreśla ciągłe ryzyko oszustw dla numerów, które raz trafiły do sieci.
Lekcja wyciągnięta, szkoda, że po wielu latach
Choć badacze zachowali się etycznie i natychmiast powiadomili Meta w kwietniu 2025 roku, firma Meta wiedziała o podobnym problemie już w 2017 roku, ale nie wdrożyła odpowiednich zabezpieczeń. To oznacza, że luka była otwarta przez lata, stwarzając okazję dla nieuczciwych podmiotów. Na szczęście, po zgłoszeniu przez austriackich badaczy, do października 2025 roku Meta wdrożyła ograniczenia liczby zapytań.
Mimo wszystko odpowiedź firmy na ujawnione informacje budzi wątpliwości. Przedstawiciele Mety twierdzą, że ujawnione dane to publicznie dostępne informacje, a zdjęcia i opisy profilowe użytkowników, którzy ustawili je jako prywatne, nie były dostępne. Firma zapewnia również, że nie ma dowodów na wykorzystanie tej luki przez osoby o złych zamiarach.
Czytaj też: Unia Europejska wymusiła rewolucję w czatowaniu. WhatsApp otwiera się na inne aplikacje
Trudno jednak uznać numery telefonów za informację publiczną w tradycyjnym znaczeniu. Użytkownicy powierzają je aplikacji w przekonaniu, że będą chronione. Możliwość ich masowego pozyskiwania przez dowolne podmioty stanowi poważne naruszenie zaufania. Co więcej, gdyby ktoś rzeczywiście wykorzystał tę lukę, raczej nie chwaliłby się tym publicznie.
Choć sytuacja została w końcu naprawiona, pozostawia gorzki posmak. WhatsApp promuje się jako bezpieczny komunikator z szyfrowaniem end-to-end, ale ten incydent pokazuje, że bezpieczeństwo to nie tylko ochrona treści wiadomości. Równie ważna jest ochrona podstawowych danych użytkowników przed nieautoryzowanym dostępem. To powinno być standardem od samego początku, a nie dopiero po latach odkrytych zaniedbań.