Raziskovalci razkrili 3,5 milijarde WhatsApp računov

Raziskovalci so že večkrat pokazali, kako ranljivi API‑ji lahko razkrijejo ogromne količine uporabniških podatkov. Z izkoriščanjem WhatsApp contact‑discovery API‑ja pa je ekipa z Univerze na Dunaju in SBA Research zbrala podatkovno zbirko z 3,5 milijarde aktivnih računov, vključno s telefonskimi številkami in osebnimi podatki.

Težava je bila v pomanjkanju omejitve hitrosti na končni točki GetDeviceList, ki omogoča preverjanje, ali je številka registrirana. Brez omejitev so raziskovalci lahko preverili več kot 100 milijonov številk na uro z enega strežnika in le petimi sejami. WhatsApp dejavnosti ni blokiral ali omejil.

Podatki so razkrili globalne vzorce uporabe:

• Indija: 749 milijonov
• Indonezija: 235 milijonov
• Brazilija: 206 milijonov
• ZDA: 138 milijonov
• Rusija: 133 milijonov
• Mehika: 128 milijonov

Milijoni računov so bili odkriti tudi v državah, kjer je bil WhatsApp prepovedan, kot so Kitajska, Iran, Severna Koreja in Mjanmar.

Poleg odkrivanja računov so druge končne točke, kot so GetUserInfo, GetPrekeys in FetchPicture, omogočile zbiranje profilnih fotografij, besedila »about« in podatkov o napravah. V enem testu so prenesli 77 milijonov profilnih fotografij v ZDA, mnoge z jasno prepoznavnimi obrazi. Primerjava z Facebookovo objavo iz leta 2021 je pokazala, da je 58 odstotkov takrat razkritih številk še vedno aktivnih na WhatsAppu leta 2025, kar dokazuje, da so uhajanja telefonskih številk uporabna še leta.

Raziskovalci so poudarili, da je bila študija izvedena odgovorno, vendar bi objava podatkovne zbirke, ki vsebuje številke, časovne žige, profilne slike in ključe za šifriranje, pomenila največji podatkovni izliv v zgodovini.

Primer kaže na širši problem: API‑ji brez ustreznih zaščit so glavna tarča za obsežno zbiranje podatkov. Podobni incidenti so prizadeli Facebook (533 milijonov uporabnikov), Twitter (54 milijonov računov) in Dell (49 milijonov zapisov). Meta je bila zaradi napake kaznovana z 265 milijoni evrov s strani irskega varuha osebnih podatkov.