Një gabim në WhatsApp ekspozoi 3.5 miliardë numra telefoni

Studiues nga Universiteti i Vienës zbuluan një dobësi kritike në WhatsApp që mundësonte identifikimin e 3,5 miliardë numrave telefoni të regjistruar në aplikacion. Përveç numrave, disa të dhëna publike si foto profili dhe tekstet “About” mund të ishin gjithashtu të aksesueshme.

Metoda ishte e thjeshtë: hulumtuesit përdorën automatizim për të futur grupe të mëdha numrash në sistemin e WhatsApp, dhe aplikacioni përgjigjej nëse një numër ishte aktiv. Në kulmin e testimit, ata regjistruan deri në 100 milionë numra në orë. Nga këta, rreth 57% kishin foto profili të dukshme për publikun dhe 29% kishin tekst “About” të lexueshëm. Problemi u thellua nga mungesa e limitimeve në numrin e kërkesave për zbulim kontaktesh, duke e bërë të mundur këtë skanim masiv. Studiuesit njoftuan Meta (kompania prind i WhatsApp) për këtë dobësi që në vitin 2017, por masat parandaluese erdhën vetëm në 2025, kur Meta aplikoi rate-limiting për këtë funksion.

Meta deklaroi se nuk ka prova që dobësia të ketë qenë e shfrytëzuar për qëllime kriminale dhe falënderoi studiuesit për raportimin në kuadër të programit të “bug bounty”.

Ekspertët paralajmërojnë se përdorimi i numrave të telefonit si identifikues unik për aplikacione si WhatsApp mund të kërcënojë privatësinë e përdoruesve. Ata sugjerojnë që përdorimi i emrave të përdoruesit në vend të numrave të telefonit mund të zvogëlojë rreziqet e skanimëve masivë.