Cercetători de la Universitatea din Viena și SBA Research au demonstrat că pot enumera 3,5 miliarde de numere de telefon asociate cu WhatsApp – cam întreaga bază de utilizatori – fără ca Meta să bage de seamă.

Totul s-a întâmplat cu un ritm de peste 100 de milioane de numere pe oră, de pe un singur server universitar, fără măsuri de limitare care să împiedice activitatea, deși toate interogările au fost trimise de pe aceeași adresă IP.

Problema constă în mecanismul de descoperire a contactelor din WhatsApp: pentru că trebuie să știi dacă prietenii tăi sunt pe platformă, serverele trebuie să-ți permită să cauți numere de telefon.

În teorie, o limitare a numărului de interogări ar trebui să prevină abuzul la scară largă. În practică, cercetătorii au putut să interogheze 63 de miliarde de numere de telefon generate cu ajutorul librăriei libphonenumber de la Google și au descoperit 3,5 miliarde de conturi WhatsApp active în 245 de țări, fără să fie blocați.

​Gabriel Gegenhuber, unul dintre cercetători, povestește pentru publicația Wired: “În jumătate de oră, aveam vreo 30 de milioane de numere active din SUA”. Surpriza i-a determinat să continue și să extindă studiul la nivel global, descoperirea depășind cu mult un simplu leak de numere de telefon.

Metadata fără criptare

Într-adevăr, WhatsApp criptează mesajele utilizatorilor criptate end-to-end și conținutul este în siguranță. Dar metadata nu e.

Pentru fiecare cont descoperit, cercetătorii au extras: numărul de telefon, chei publice X25519 pentru criptare, timestamp-uri pentru actualizările de chei, poze de profil (unde erau publice), text “about”, informații despre conturile business și lista device-urilor asociate contului.

​Cercetătorii au analizat și distribuția Android vs. iOS pe continente, vârsta medie a device-urilor și pattern-uri de reutilizare a cheilor criptografice – unele chei erau reutilizate de sute de ori, iar 20 de numere americane foloseau o cheie privată (folosită pentru decriptare) compusă doar din zerouri.

​În 66% din cazurile în care au descărcat poze de profil (dintr-un eșantion de 500.000), algoritmii de face detection au identificat fețe umane. Mai simplu spus, un actor rău intenționat poate construi un “reverse phone book” bazat pe recunoaștere facială – cauți o față, primești numărul de telefon și metadata asociată.

​Iar în textul “about” – unii utilizatori își dezvăluie orientarea politică (“Make America Great Again”), identitatea sexuală (“LGBTQIA+”), convingeri religioase sau chiar activități ilegale. Cercetătorii au găsit dealeri de droguri care își listau ofertele și prețurile direct în tagline-ul public.

Studiind distribuția globală, cercetătorii au putut să traseze hărți detaliate ale adoptării WhatsApp: 95% penetrare în America de Sud, 80% în Europa, dar doar 2% în Japonia (unde domină Line) și 4% în Coreea de Sud (KakaoTalk e rege acolo). India conduce cu 749 de milioane de conturi, reprezentând 21% din toată baza de utilizatori WhatsApp.

​Partea mai interesantă e că au identificat 2,3 milioane de conturi active în China, 1,6 milioane în Myanmar și 59 de milioane în Iran – toate fiind țări unde WhatsApp e oficial interzis de anul trecut din decembrie.

Ce-a făcut Meta? Nimic la timp

Cercetătorii au raportat vulnerabilitatea prin programul Bug Bounty al Meta, care a implementat ulterior măsuri de limitare a ratei de interogare și restricții mai stricte la vizibilitatea profilurilor.

​Dar problema nu e nouă. În 2012, Schrittwieser et al. enumerau deja 10 milioane de numere, găsind peste 21.000 de conturi active în mai puțin de 2,5 ore. În 2021, un alt studiu enumera 50,5 milioane de numere americane descoperind 5 milioane de conturi. Meta știa de această problemă, diferența e că de data asta cineva a făcut-o la scară globală și a publicat rezultatele.

Cercetătorii au comparat dataset-ul lor cu leak-ul Facebook din 2021 (533 milioane de înregistrări): jumătate din numerele compromise atunci erau încă active pe WhatsApp în 2025.

Studiul subliniază o problemă mai largă: centralizarea serviciilor de messaging creează puncte unice de vulnerabilitate. Când 3,5 miliarde de oameni folosesc aceeași platformă, orice slăbiciune devine o țintă globală. Și când mecanismele de bază – precum contact discovery – sunt incompatibile structural cu privacy, patch-urile ulterioare sunt doar panseuri aplicate după ce calul a ieșit din grajd.

​Meta vorbește acum despre “sisteme anti-scraping” performante și “măsuri de securitate suplimentare”, dar cercetătorii au reușit să strângă 3,5 miliarde de înregistrări fără ca vreun sistem să-i oprească.

În momentul de față Meta a rezolvat problema prin contramăsuri care nu mai permit extragerea de numere de telefon asociate cu WhatsApp.

Însă o întrebare rămâne: dacă o echipă academică a făcut asta responsabil și transparent, câți actori mai puțin binevoitori au reușit să facă același lucru până acum?

Cercetătorii au șters datele obținute în urma studiului dar dacă alți actori – fie ei cibercriminali, actori statali, sau companii de marketing – cu siguranță profită de pe urma lor.