Номера телефонов пользователей WhatsApp были массово скомпрометированы

WhatsApp — очень крупная платформа, и одна из причин её роста заключается в том, что найти пользователя сервиса очень легко — всё, что нужно, это его номер телефона. К сожалению, это также означает, что до совсем недавнего времени номер телефона любого пользователя WhatsApp мог быть легко получен кем угодно — включая любые вредоносные хакерские группы.

Это выяснили австрийские исследователи, которым удалось извлечь номера всех 3,5 миллиарда пользователей WhatsApp. Примерно для 57% этих пользователей исследователи также получили доступ к их фотографиям профиля, а ещё для 29% — к тексту их профиля.

Если вы думаете, что они использовали какой-то «чёрный» хакерский трюк — нет. Они просто пытались добавить миллиарды номеров, так же как сделал бы обычный пользователь. Вы вводите номер, а WhatsApp показывает, есть ли у него аккаунт, а также его фото профиля и текст.

И всё — исследователи сделали то же самое, но в гигантском масштабе. Они использовали WhatsApp Web, браузерную версию сервиса. В начале этого года они могли проверять около 100 миллионов номеров в час. И всё это происходило, несмотря на то что материнская компания Meta была предупреждена об этой проблеме ещё в 2017 году другим исследователем, но ничего не предприняла.

К счастью, австрийские исследователи снова сообщили о проблеме в апреле, и к октябрю компания внедрила ограничения скорости, чтобы предотвратить массовый сбор контактов. Однако многие годы таких ограничений не существовало, и за это время любой злоумышленник мог использовать уязвимость.

Со своей стороны Meta заявляет, что все эти данные являются «основной общедоступной информацией», и фотографии или текст профиля не отображались у пользователей, которые установили приватность. Компания также утверждает, что «не обнаружила доказательств злоумышленного использования этого метода» и что «исследователи не получали доступ к конфиденциальным данным.