Kritičan sigurnosni propust u WhatsAppu timu je istraživača omogućio da razotkrije telefonske brojeve 3,5 milijardi korisnika, što predstavlja jedan od najvećih dokumentiranih curenja podataka dosad. Slabost proizlazi iz funkcije otkrivanja kontakata, a Meta je na nju upozoravana još od 2017. godine.

Istraživači sa Sveučilišta u Beču pokazali su da je moguće sustavno ispitivati milijarde potencijalnih brojeva i potvrđivati aktivne račune brzinom većom od 100 milijuna brojeva na sat, i to bez ikakvih ograničenja. Njihova studija, provedena između prosinca 2024. i travnja 2025. godine, koristila je alat libphonegen za generiranje realistično strukturiranih brojeva u 245 država. Putem modificiranog otvorenog XMPP klijenta došli su i do javno dostupnih podataka s profila, vremena aktivnosti te kriptografskih ključeva, uključujući identity i prekey, za 56,7 posto računa.

WhatsAppov sustav za otkrivanje kontakata dizajniran je radi praktičnosti, ali nedostatak učinkovitog ograničavanja upita omogućio je automatizirano prikupljanje podataka velikih razmjera. Pet autentificiranih računa na jednom sveučilišnom serveru bilo je tako dovoljno da u manje od šest mjeseci obradi 63 milijarde potencijalnih brojeva i identificira 3,5 milijardi aktivnih.

Izloženi podaci i sigurnosni rizici

Za 29,3 posto korisnika javni 'about' sadržaji otkrili su osjetljive informacije, uključujući politička stajališta, vjerska uvjerenja i poveznice na druge profile, a posebnu zabrinutost izazvala je pojava 2,9 milijuna slučajeva ponovne upotrebe kriptografskih ključeva. U jednom ekstremnom primjeru dvadeset američkih brojeva dijelilo je ključ sastavljen od nula, što upućuje na pogrešne implementacije ili potencijalne prijevare. Takav nedostatak jedinstvenosti ključeva mogao bi otvoriti mogućnost narušavanja enkripcije na oba kraja putem neautoriziranih klijenata.

Najgora stvar u ovoj priči je to što je problem godinama bio poznat, a Meta sve dosad nije napravila apsolutno ništa da ga riješi. Eksponirani podaci dijelom se preklapaju s prethodnim curenjima, poput onog na Facebooku iz 2021., kada je gotovo polovica tada objavljenih brojeva i dalje bila aktivna na WhatsAppu, što povećava izloženost različitim oblicima zloupotrebe, uključujući prijevare i ciljane napadačke kampanje. Dodatni rizik postoji za korisnike u zemljama u kojima je WhatsApp zabranjen, uključujući Kinu, Iran i Sjevernu Koreju, zbog mogućnosti državnog nadzora.

Meta se trznula - osam godina prekasno

Meta je priznala rezultate preko programa za prijavu ranjivosti u travnju i u listopadu uvela snažnije ograničenje zahtjeva. Tvrtka tvrdi da su izloženi podaci ionako bili javni i da enkripcija poruka nije bila ugrožena.

Potpredsjednik inženjeringa Nitin Gupta naveo je da razvijaju dodatne mehanizme protiv automatiziranog prikupljanja podataka. Istraživači su nakon studije izbrisali dataset i istaknuli da su privatni profili značajno smanjivali izloženost, ali su uputili kritiku Meti, s obzirom da tijekom višemjesečnog istraživanja nisu naišli ni na kakve zaštitne mjere.

Unatoč zakrpama, stručnjaci upozoravaju da rizici ostaju. Posebno su izloženi poslovni računi, kojih je devet posto, jer značajan dio njihovih podataka biva javno vidljiv putem funkcija WhatsApp Business. Posljedice uključuju povećan rizik od phishinga, doxinga i drugih oblika iskorištavanja velikih baza s podacima.

Što učiniti da biste se zaštitili?

Stručnjaci korisnicima savjetuju postavljanje profila na privatne postavke, izbjegavanje dijeljenja osjetljivih podataka u statusima i praćenje sumnjivih aktivnosti.

U regijama u kojima WhatsApp dominira, poput zapadne Afrike, gdje je 80 posto profila javno, rizici od krađe identiteta i ciljano usmjerenih napada dodatno rastu. Regulacijska tijela mogla bi ponovno usmjeriti pozornost na Metu, osobito nakon prethodnih kazni zbog GDPR-a, potičući implementaciju proaktivnih obrambenih mehanizama, uključujući napredne sustave CAPTCHA, piše Cyber Security News.