Группа австрийских исследователей обнаружила исключительно серьёзную уязвимость в WhatsApp, позволяющую злоумышленникам собирать номера телефонов, связанные со всеми активными аккаунтами, а это около 3,5 миллиардов профилей. Исследование, опубликованное ПроводнаяИсследование показывает, что в некоторых случаях также можно было получить фотографии профиля и текст. Уязвимость основана на очень простой функции: поиске по номеру телефона. Поскольку приложение не ограничивало количество разрешённых запросов, достаточно было обращаться к базе данных столько раз, сколько необходимо для получения соответствующих учётных записей. Исследователи объясняют, что за полчаса они собрали тридцать миллионов телефонных номеров США и почти пятьдесят четыре миллиона номеров Франции. Они подчёркивают, что злоумышленники могли воспользоваться этим отсутствием защиты для создания глобальной базы данных, открыв путь для масштабных кампаний по фишингу, краже личных данных и травле. По их словам, инцидент мог стать «крупнейшей утечкой данных в истории», если бы операция была осуществлена киберпреступниками.
Команда утверждает, что удалила все собранные данные после уведомления Meta.
WhatsApp подтвердил, что устранил уязвимость и усилил свои системы защиты от взлома. Вице-президент по инжинирингу заявил, что инструменты обнаружения и блокировки были немедленно улучшены, отчасти благодаря тестам, проведённым в рамках данного исследования. Уязвимость подчёркивает необходимость для мессенджеров устанавливать строгие ограничения на автоматические запросы. Она также служит напоминанием пользователям о важности настройки конфиденциальности, чтобы ограничить доступ к информации своего профиля только одобренными контактами.
