Vulnerabilitate uriașă pe WhatsApp: Datele a 3,5 miliarde de utilizatori au putut fi accesate în secret timp de ani întregi
O descoperire șocantă făcută de cercetători de la Universitatea din Viena și SBA Research arată cât de expuși au fost utilizatorii WhatsApp fără să știe. O vulnerabilitate ignorată ani la rând a permis identificarea masivă a peste 3,5 miliarde de conturi active, doar prin folosirea funcției obișnuite de „descoperire a contactelor”, un mecanism pe care aplicația îl folosește zilnic pentru a vedea cine din agenda telefonului tău are WhatsApp.
Cercetătorii au demonstrat că prin această funcție se putea rula un număr enorm de verificări automate, permițând oricui să introducă liste întregi de numere de telefon și să afle instant dacă acestea au un cont WhatsApp activ. Și mai grav, acolo unde utilizatorii își setaseră public poza de profil sau descrierea contului, aceste date erau accesibile fără nicio restricție. Studiul arată că 57% dintre conturile scanate aveau poza de profil vizibilă, iar aproape 29% oferau și textul „About” — detalii suficiente pentru a genera profiluri ale utilizatorilor, pentru atacuri de phishing sau pentru campanii de fraudă extrem de precise.
Din fericire, cercetătorii au declarat că nu au găsit dovezi că vulnerabilitatea ar fi fost exploatată la scară largă de actori rău intenționați, însă lipsa unor protecții elementare ridică semne serioase de întrebare despre modul în care Meta gestionează siguranța datelor. Chiar dacă mesajele private rămân criptate end-to-end, expunerea metadatelor — precum numerele de telefon, pozele de profil și statusurile — reprezintă deja un risc major pentru confidențialitate.
Meta a reacționat abia după ce informațiile au fost făcute publice, introducând limitări mai stricte pentru interogarea serverelor și reducând posibilitatea de a face scanări la scară mare. Cu toate acestea, incidentul readuce în prim-plan discuția despre vulnerabilitățile nedeclarate ale platformelor folosite zilnic de miliarde de oameni și despre cât de puțin control avem, în realitate, asupra datelor noastre.
Analiza specialiștilor arată că, deși conturile nu au fost „sparte” în sensul clasic, identificarea în masă a utilizatorilor WhatsApp — combinată cu imaginile și informațiile lor publice — poate deschide ușa unor scenarii periculoase, de la atacuri informatice, la furt de identitate și până la manipulări sociale.
Acest caz este considerat deja unul dintre cele mai mari semnale de alarmă privind securitatea metadatelor din ultimii ani, demonstrând că, uneori, nu mesajele private sunt cele mai vulnerabile… ci informațiile vizibile pentru toată lumea, pe care nimeni nu le ia în considerare.