Østerrikske forskere avdekket en WhatsApp-sårbarhet som åpnet for innsamling av telefonnumre til 3,5 mrd brukere og profilbilder. Taktbegrensning kom 2025.
© E. Vartanyan
Østerrikske forskere sier at de har avdekket et alvorlig problem i WhatsApp: Tjenesten lot i praksis hvem som helst samle inn telefonnumrene til hele brukerbasen på 3,5 milliarder. Og det krevde ikke noe innbrudd – enkle, mekaniske nummeroppslag via nettversjonen var nok.
WhatsApp er bygget slik at det å finne en kontakt ikke krever mer enn å taste inn et telefonnummer. Systemet viser umiddelbart om personen er registrert og eventuelle offentlige profildetaljer. Forskerne tok denne hverdagslige funksjonen og skrudde den opp i stor skala, automatiserte prosessen og testet millioner av numre i timen.
I eksperimentet klarte de å samle numrene til alle brukere, og i tillegg hente profilbilder for rundt 57 prosent av kontoene, samt tekststatus for omtrent 29 prosent av brukerne – i praksis alt folk hadde gjort offentlig.
Problemet fikk leve i årevis: Varsler om en lignende sårbarhet nådde utviklerne allerede i 2017, men taktbegrensning (rate limiting) ble innført først i oktober 2025 – mange år der brukere i teorien kunne være utsatt. For en plattform i denne størrelsesordenen kom tiltaket påfallende sent.
Utviklerne mener at dataene det gjelder i hovedsak var grunnleggende offentlig informasjon, synlig bare i den grad brukerne selv hadde valgt. De opplyste også at de ikke fant tegn til bevisst misbruk av svakheten, og at forskerne ikke fikk tilgang til private data.