Österrikiska forskare avslöjar att WhatsApp web möjliggjorde skörd av 3,5 miljarder telefonnummer samt profilbilder och statusar. Begränsningar kom först 2025.
© E. Vartanyan
Österrikiska forskare säger att de har avslöjat ett allvarligt problem i WhatsApp: tjänsten gjorde det i praktiken möjligt för vem som helst att skörda telefonnummer till hela dess användarbas på 3,5 miljarder. Och det krävde inget intrång—enkla, mekaniska nummerkontroller via webbversionen räckte.
WhatsApp är byggt så att man hittar en kontakt genom att skriva in ett telefonnummer. Systemet visar direkt om personen är registrerad och eventuella offentliga profildetaljer. Forskarna tog denna vardagsfunktion och skruvade upp den, automatiserade processen och testade miljontals nummer i timmen.
I sitt experiment kunde de samla in alla användares nummer och dessutom komma åt profilbilder för ungefär 57 procent av kontona samt textbaserade statusmeddelanden för omkring 29 procent—i praktiken allt som människor lämnat öppet.
Problemet dröjde kvar i åratal: varningar om en liknande sårbarhet nådde utvecklarna redan 2017, men begränsningar av förfrågningstakten infördes först i oktober 2025—år då användare potentiellt kunde exponeras. För en plattform i den storleken kommer en sådan åtgärd påfallande sent.
Utvecklarna framhöll att uppgifterna rörde grundläggande offentlig information, synlig i den mån användarna själva valt att göra den publik. De sade också att de inte sett några tecken på avsiktligt utnyttjande av svagheten och att forskarna inte tog del av någon privat data.