Un equipo de investigadores austriacos ha descubierto una vulnerabilidad excepcionalmente grande en WhatsApp, que permite a los atacantes obtener los números de teléfono asociados a todas las cuentas activas, aproximadamente 3,5 millones de perfiles. El estudio, publicado por Con conexión de cableEl estudio demuestra que, en algunos casos, también se podían recuperar las fotos de perfil y el texto. La vulnerabilidad radicaba en una función muy simple: la búsqueda por número de teléfono. Dado que la aplicación no limitaba el número de consultas permitidas, bastaba con consultar la base de datos tantas veces como fuera necesario para encontrar cuentas coincidentes. Los investigadores explican que recopilaron treinta millones de números de teléfono estadounidenses en media hora y casi cincuenta y cuatro millones de franceses. Subrayan que los ciberdelincuentes podrían haber aprovechado esta falta de protección para crear una base de datos global, lo que habría facilitado campañas masivas de phishing, robo de identidad y acoso. Según ellos, el incidente podría haberse convertido en «la mayor filtración de datos de la historia» si la operación la hubieran llevado a cabo ciberdelincuentes.
El equipo afirma haber borrado todos los datos recopilados tras notificar a Meta.
WhatsApp ha confirmado que ha solucionado la vulnerabilidad y reforzado sus sistemas anti-scraping. El vicepresidente de ingeniería declaró que las herramientas de detección y bloqueo se mejoraron de inmediato, gracias en parte a las pruebas realizadas como parte de este estudio. El fallo pone de manifiesto la necesidad de que las plataformas de mensajería impongan límites estrictos a las solicitudes automatizadas. También sirve como recordatorio a los usuarios sobre la importancia de ajustar su configuración de privacidad para restringir la visibilidad de la información de su perfil únicamente a los contactos aprobados.
