Исследователи из Австрии решили проверить, можно ли с помощью автоматического перебора номеров узнать, кто именно пользуется WhatsApp. Они запустили этот процесс, и всего за несколько часов стало ясно, что ограничений почти нет. Служба позволяла отправлять неограниченное количество запросов через веб-версию, и в результате команда смогла построить базу из 3,5 млрд номеров — то есть фактически собрать информацию о каждом пользователе приложения на планете. Почти для 57% записей дополнительно удалось получить фотографии пользователей, а почти для трети —краткое самоописание.
По описанию самих исследователей, это была бы крупнейшая известная утечка номеров и открытых элементов профиля, если бы данные не собирались исключительно в рамках научной работы. Они сообщили о находке весной и удалили весь массив, однако до октября система оставалась полностью уязвимой, а значит, аналогичную операцию мог провести кто угодно — от рекламщиков до государственных хакеров.
Несмотря на уверения Meta*, что компания внедряет всё более эффективные защитные механизмы от массового сбора данных, команда из Вены утверждает, что в реальности не увидела никаких ограничений. Они напомнили, что о подобной проблеме WhatsApp предупреждали ещё в 2017 году: голландский исследователь Лоран Клёзе тогда описал схему массовой проверки номеров и показывал, что можно собирать не только информацию профиля, но и время пребывания онлайн. Даже тогда компания заявила, что всё работает в рамках стандартных настроек конфиденциальности.
Сравнение нынешних результатов с теми, что были восемь лет назад, показывает, насколько вырос риск. Если раньше речь шла о десятках миллионов потенциально доступных записей, сейчас сервисом пользуются больше трети населения Земли, а номер сам по себе давно перестал быть чем-то случайным. Исследователи подчёркивают, что телефон не может выступать в роли секретного идентификатора: диапазоны нумерации ограничены, а значит, перебор становится всегда возможным, если нет строгих ограничений на количество запросов.
Команда также изучила особенности профилей по странам. В США из собранных 137 млн номеров открытые фотографии имели 44 процента пользователей, а текстовые статусы — около трети. В Индии, где WhatsApp используется значительно шире, открытыми оказались уже 62 процента профилей из 750 млн. В Бразилии показатель почти такой же — 61 процент из 206 млн. Чем популярнее сервис, тем меньше людей меняют настройки конфиденциальности, и тем шире круг тех, кто оставляет в доступе свои изображения и описания.
При анализе ключей, которые используются в протоколе сквозного шифрования для получения сообщений, команда заметила ещё одну аномалию: значительное количество повторяющихся значений. Некоторые ключи использовались сотни раз, а около двух десятков американских номеров оказались привязаны к нулевому ключу. Исследователи подозревают, что речь идёт о сторонних, неофициальных клиентах WhatsApp, которые активно применяют мошеннические группы. На это указывает и поведение некоторых аккаунтов с повторяющимися ключами — они явно выглядели как инструменты для мошенничества или массовых рассылок.
Главная проблема, на которую указывает команда, — не только отсутствие ограничений, но и конструктивный выбор привязки идентификатора к телефонному номеру. При такой схеме сервис не может обеспечить полноценную защиту от массового сбора данных, если хочет сохранить простоту поиска контактов. Meta уже тестирует альтернативу в виде внутренних имён пользователей, и возможно, переход на такую модель станет обязательным шагом для снижения рисков.
* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.