3,5 мільярда телефонних номерів змогли отримати дослідники Віденського університету через вразливість вотсапу

Група австрійських дослідників з Віденського університету заявила, що завдяки методу перевірки кожного можливого номера телефону в інструменті пошуку контактів вотсапу змогла отримати номери телефонів 3,5 мільярда користувачів. Про це повідомило Wired.

Дослідники також змогли завантажити фото профілів 57% акаунтів та опис профілю «про себе» 29% користувачів. 

За їхніми даними, в США 44% зі 137 млн абонентів відображали фотографії, а 33% — опис профілю. Серед 750 млн абонентів в Індії 62% облікових записів відображали фотографію профілю. Мільйони зареєстрованих номерів телефонів виявили і в країнах, де сервіс офіційно заборонений, — 2,3 млн в Китаї та 1,6 млн у М’янмі. 

Команда також знайшла повторювані криптографічні ключі у частини акаунтів, що може свідчити про використання неофіційних клієнтів вотсапу, зокрема шахраїв.

Meta стверджує, що розкриті дані є «базовою загальнодоступною інформацією», оскільки фотографії профілів та текст не були розкриті для користувачів, які вирішили зробити свій профіль приватним. 

Проте, як зауважили дослідники, вони не обходили механізмів захисту, адже їх просто не було. У 2017 році ще один дослідник розповідав про подібну вразливість, але її так і не усунули. Компанія не обмежила швидкість або кількість запитів на виявлення контактів, що дозволило дослідникам перевіряти близько ста мільйонів номерів на годину.

Дослідники передали компанії свої висновки у квітні 2025 року, а також запевнили, що видалили копію зібраної бази. У жовтні компанія впровадила обмеження швидкості запитів, щоб запобігти масовим перевіркам.

На думку дослідників, головною проблемою є використання телефонного номера як універсального ідентифікатора. Meta вже тестує альтернативну систему нікнеймів.

Нагадаємо, за словами експерта з кібербезпеки Костянтина Корсуна, відкритий трафік мобільного зв’язку і деякі месенджери легше піддаються перехопленню. Зокрема, чати в телеграмі за замовчуванням не мають шифрування, тому трафік там більш відкритий. Натомість сігнал, вотсап та вайбер застосовують один і той самий спосіб шифрування, що ускладнює доступ до повідомлень навіть власнику сервісу.

Керівник Головного управління розвідки Кирило Буданов вважає, що Signal є найбезпечнішим для спілкування серед популярних месенджерів. Водночас він зауважував, що зазвичай людям зламують самі телефони, а не подібні застосунки. Буданов також казав, що звичайний GSM-зв'язок перехоплюється зі 100% гарантією, «тому так легше контролювати, про що люди говорять».

Фото: Shutterstock