Un grup de cercetători a reușit să exploateze o funcție banală din WhatsApp, iar rezultatul este descris ca fiind una dintre cele mai extinse expuneri de date personale din istoria aplicațiilor de mesagerie. Vorbim despre 3,5 miliarde de numere de telefon care au fost scanate prin sistemul de contact discovery, folosit de WhatsApp pentru a-ți arăta rapid dacă un număr de telefon se află sau nu pe platformă.
Tot ce au făcut a fost să încarce în buclă zeci de miliarde de combinații numerice în interfața respectivă, iar sistemul – fără vreo barieră eficientă – a confirmat dacă fiecare număr este asociat unui cont. În multe cazuri, au fost afișate și poza de profil sau numele utilizatorului, așa cum e setat public în aplicație. Nu s-a intrat în conturi, dar impactul asupra intimității e considerabil.
Ce e relevant aici e că metoda nu s-a bazat pe hacking clasic sau pe o breșă de securitate în servere. E vorba de o funcție banală, gândită tocmai ca să-ți fie ușor să adaugi contacte noi. Problema e că, neavând nicio limitare în fața unui atac automatizat, oricine cu resursele potrivite ar putea replica experimentul și extrage date la scară industrială.
Ce înseamnă asta pentru tine
Dacă ai WhatsApp instalat, numărul tău de telefon este foarte probabil inclus în acest set de date testat. Cercetătorii au numit această expunere „inevitabilă” în actuala configurație a aplicației. Chiar și fără să-ți faci publică poza sau numele, simpla confirmare că un număr e pe WhatsApp poate alimenta campanii de phishing, tentative de fraudă sau profilări automate în scopuri comerciale.
WhatsApp, deținut de Meta, nu a avut un răspuns imediat pe tema acestui experiment, dar în trecut compania a apărat această funcționalitate prin faptul că ajută la o experiență mai fluidă de onboarding. Însă lipsa unor măsuri de protecție anti-abuz – precum rate limiting, captchas sau un sistem de alertare – ridică serioase semne de întrebare, mai ales în contextul în care WhatsApp se laudă cu criptare end-to-end și protecție avansată a confidențialității.
În forma actuală, sistemul permite confirmarea existenței unui cont doar prin trimiterea unui număr, ceea ce îl transformă într-un instrument masiv de colectare pasivă a datelor personale, fără ca utilizatorii să fie conștienți de acest lucru sau să-și poată revoca vizibilitatea.
