Austriaccy badacze ujawnili, że WhatsApp Web umożliwiał masowe sprawdzanie numerów i zbieranie publicznych danych 3,5 mld kont. Sprawdź szczegóły. Teraz.
© E. Vartanyan
Austriaccy badacze ujawnili poważny problem w WhatsAppie: usługa w praktyce pozwalała każdemu wyłuskać numery telefonów całej bazy 3,5 mld użytkowników. Co istotne, nie trzeba było niczego hakować — wystarczały mechaniczne sprawdzenia numerów w wersji webowej.
WhatsApp działa tak, że aby znaleźć kontakt, wystarczy wpisać numer telefonu. System natychmiast pokazuje, czy dana osoba ma konto, a także udostępnia publiczne szczegóły profilu. Naukowcy wzięli tę codzienną funkcję i podkręcili ją do maksimum, automatyzując proces tak, by sprawdzać nawet miliony numerów na godzinę.
W swoim eksperymencie zdołali zebrać numery wszystkich użytkowników, a także uzyskać dostęp do zdjęć profilowych dla około 57 proc. kont oraz do tekstowych statusów mniej więcej 29 proc. osób — w skrócie: do wszystkiego, co użytkownicy pozostawili publiczne.
Problem utrzymywał się latami: ostrzeżenia o podobnej luce dotarły do deweloperów już w 2017 roku, jednak ograniczenia szybkości zapytań wprowadzono dopiero w październiku 2025 — to wiele lat potencjalnej ekspozycji. Jak na platformę tej skali, reakcja przyszła wyraźnie zbyt późno.
Twórcy aplikacji przekonywali, że chodzi o podstawowe informacje publiczne, widoczne tylko w takim zakresie, jaki użytkownicy sami ustawili. Dodali też, że nie znaleziono dowodów na celowe nadużycia tej słabości i że badacze nie uzyskali dostępu do żadnych danych prywatnych. Brzmi to uspokajająco, choć skala możliwego zbioru danych przypomina, że granica między „publiczne” a „wrażliwe” w komunikatorach bywa cienka.