Un grup de cercetători de la Universitatea din Viena și de la centrul austriac de cercetare în domeniul securității cibernetice SBA Research a exploatat o eroare a WhatsApp și a obținut acces la 3,5 miliarde de numere de telefon, scrie La Repubblica. Compania a minimalizat gravitatea potențială a incidentului, dar un caz similar din 2017 sugerează o cu totul altă poveste.
După ce au alertat Meta - compania care produce WhatsApp, Facebook, Instagram și Threads - cercetătorii au distrus datele extrase și au publicat un document care reconstituie incidentul, relatează La Repubblica.
La rândul său, Meta a mulțumit Universității din Viena și a încercat să minimalizeze incidentul, subliniind că nu știa de nicio scurgere de date cauzată de hackeri. Acest lucru, pe lângă faptul că nu reprezintă o garanție, reiterează problema răspunsului lent al platformelor majore de socializare la vulnerabilități. Aceeași eroare, deși la o scară diferită, fusese deja identificată în 2017 și, potrivit faptelor, se pare că Meta a trecut-o cu vederea timp de aproximativ opt ani.
WhatsApp și descoperirea contactelor
Cercetătorii au folosit un mecanism cunoscut sub numele de descoperirea contactelor, care le permite să verifice dacă un număr se află pe WhatsApp de fiecare dată când un utilizator adaugă un contact în agenda smartphone-ului său. Acesta este un mecanism legitim care, în sine, nu reprezintă o eroare, iar Meta îl gestionează impecabil.
Prin automatizarea acestui proces de verificare, cercetătorii au generat zeci de miliarde de numere de telefon și au verificat dacă acestea erau active pe WhatsApp.
În esență, cercetătorii au creat un director global de conturi WhatsApp active în fiecare țară din întreaga lume, exploatând o vulnerabilitate de enumerare care le-a permis să extragă toate numerele de telefon accesibile prin aplicația de mesagerie.
Pe lângă găsirea a 3,5 miliarde de numere active, au reușit să extragă și fotografii de profil (în 59% din cazuri, adică aproximativ 2 miliarde) și statusuri ale utilizatorilor (în 29% dintre cazuri, corespunzând unui număr de aproximativ 1,2 miliarde de statusuri personale).
În plus, cercetătorii au obținut metadate care indică sistemele de operare ale utilizatorilor, utilizarea dispozitivelor complementare (de exemplu, WhatsApp Web) și data la care au fost înregistrate conturile.
Un fel de recensământ global pe care doar Meta ar trebui să îl poată efectua și care, dincolo de cercetătorii care au acționat în scop demonstrativ, ar fi putut fi realizat de un colectiv de infractori cibernetici sau de un stat în care este interzisă utilizarea WhatsApp.
Printre numerele de telefon extrase de autorii cercetării, se numără, după toate probabilitățile, și cel al persoanei care citește acest articol.
Cercetarea a evidențiat, de asemenea, impactul potențial pe termen lung al scurgerilor de date. De fapt, aproximativ jumătate dintre numerele expuse într-o scurgere de date Facebook din 2021 sunt încă active pe WhatsApp. În același timp, a identificat chei de criptare reutilizate în mod anormal pe milioane de dispozitive, sugerând erori de implementare sau activități frauduloase.
Reutilizarea cheilor de criptare – adică utilizarea aceleiași chei de către mai multe conturi pentru a proteja datele – poate reprezenta o problemă serioasă de securitate și confidențialitate, însă cercetătorii sugerează că acest lucru este legat de utilizarea aplicațiilor WhatsApp neoficiale și nu reprezintă o vulnerabilitate reală. Pentru a evita alarmismul, este utilă o scurtă explicație.
Cheile de criptare
O cheie de criptare este un cod necesar pentru criptarea și decriptarea mesajelor. În sistemele asimetrice precum WhatsApp, fiecare utilizator are o cheie publică (accesibilă tuturor și utilizată pentru criptarea datelor) și o cheie privată (secretă, utilizată pentru decriptarea datelor).
Dacă două numere de telefon folosesc aceeași pereche de chei, oricine are acces la cheia privată poate accesa mesajele destinate ambelor, chiar dacă acestea țin de două conturi WhatsApp diferite.
Aceasta este o problemă care afectează în special confidențialitatea, dar în acest caz, este doar teoretică și foarte îndepărtată. Este foarte probabil, așa cum au subliniat cercetătorii, ca aplicațiile neoficiale WhatsApp să nu fi generat chei noi atunci când utilizatorii lor au schimbat numerele de telefon, au schimbat dispozitivele sau pur și simplu au reinstalat aplicația.
Trebuie menționat că cercetătorii nu au intrat în posesiea niciunui mesaj schimbat între utilizatori, semn că sistemul de criptare end-to-end care face conversațiile ilizibile pentru terți este suficient de robustă.
Riscuri potențiale
Reiterăm faptul că acestea sunt riscuri potențiale și, prin urmare, nu neapărat tangibile sau reale.
Cu toate acestea, generozitatea cu care Meta organizează datele utilizatorilor poate avea repercusiuni semnificative.
Într-adevăr, un număr de telefon este o informație sensibilă care poate fi utilizată pentru campanii de spam și phishing și poate deveni și mai sensibilă dacă este asociată cu datele utilizatorilor furate de pe alte platforme.
Studiul mai precizează că cercetătorii au identificat 2,3 milioane de numere de telefon ale utilizatorilor chinezi activi la momentul efectuării recensământului (decembrie 2024).
Aceasta este o constatare semnificativă, având în vedere că WhatsApp este interzis în China și că, mai general, chiar și guvernele autoritare ar putea cartografia numerele de WhatsApp ale cetățenilor.
Chiar și în afara statelor autoritare, pot apărea probleme grave. În primăvara anului 2025, a ieșit la iveală că oficiali de rang înalt ai guvernului SUA, în special secretarul Apărării Pete Hegseth, consilierul pentru securitate națională Mike Waltz și directoarea serviciilor naționale de informații Tulsi Gabbard, au fost identificați prin intermediul numerelor lor de telefon care au reieșit din mai multe aplicații de mesagerie, inclusiv WhatsApp.
Responsabilitățile platformei Meta
Cercetătorii au scanat peste o sută de milioane de numere de telefon în fiecare oră, o viteză care nu a întâmpinat obstacole sau blocaje, confirmând că WhatsApp este susceptibil a fi utilizat la verificări în masă.
În urma raportului cercetătorilor austrieci, Meta a introdus o limită de viteză mai strictă, evitând astfel de scanări masive în viitor.
Numai că aceasta pare a fi o jumătate de măsură și una prea târzie. În 2017, dezvoltatorul și cercetătorul Loran Kloeze demonstrase deja că extragerea informațiilor din WhatsApp era relativ simplă. Munca lui Kloeze a fost citată într-un studiu din 2021 realizat de cercetători de la două universități germane, care s-a concentrat pe necesitatea îmbunătățirii confidențialității sistemelor de descoperire a contactelor. Kloeze raportase deja problema în 2017, dar WhatsApp nu a reușit să o rezolve.
Editor : Marina Constantinoiu
