Itävaltalaiset tutkijat paljastivat WhatsAppin verkkoversion haavoittuvuuden, jonka avulla puhelinnumerot ja profiilitiedot kerättiin automaattisesti vuosia.
© E. Vartanyan
Itävaltalaiset tutkijat kertovat paljastaneensa vakavan ongelman WhatsAppissa: palvelu mahdollisti käytännössä kenen tahansa kerätä sen koko, 3,5 miljardin käyttäjän, puhelinnumerot. Murtautua ei tarvinnut – riittivät yksinkertaiset, mekaaniset numerotarkistukset verkkoversiossa.
WhatsApp on rakennettu niin, että yhteystiedon löytäminen vaatii vain puhelinnumeron syöttämisen. Järjestelmä kertoo heti, onko numero rekisteröity, ja näyttää mahdolliset julkiset profiilitiedot. Tutkijat veivät tämän arjen haun teolliseen mittakaavaan: he automatisoivat tarkistukset, jolloin numeroita voitiin testata miljoonittain tunnissa.
Kokeessaan he pystyivät keräämään kaikkien käyttäjien numerot sekä hakemaan profiilikuvat noin 57 prosentille tileistä ja tekstimuotoiset tilapäivitykset noin 29 prosentille – käytännössä kaiken, minkä ihmiset olivat jättäneet näkyville.
Ongelma jäi kytemään vuosiksi: kehittäjille oli välitetty varoituksia samankaltaisesta haavoittuvuudesta jo vuonna 2017, mutta pyyntöjen rajoitus (rate limiting) otettiin käyttöön vasta lokakuussa 2025 – pitkät vuodet, joiden aikana käyttäjät olivat mahdollisesti alttiina. Tämän mittaluokan alustalle korjaus tuli silmiinpistävän myöhään.
Kehittäjien mukaan kyse oli perusluonteisista julkisista tiedoista, jotka näkyvät vain siinä määrin kuin käyttäjä ne itse avaa. Heidän mukaansa ei myöskään löytynyt viitteitä haavoittuvuuden tahallisesta väärinkäytöstä, eikä tutkijoiden todettu päässeen käsiksi yksityisiin tietoihin.