Ένα κρίσιμο ελάττωμα ασφαλείας στο WhatsApp επέτρεψε στους ερευνητές να αποκαλύψουν τους αριθμούς τηλεφώνου 3,5 δισεκατομμυρίων χρηστών, σηματοδοτώντας μια από τις πιο σημαντικές διαρροές δεδομένων που έχουν τεκμηριωθεί ποτέ.
Αυτή η ευπάθεια, που έχει τις ρίζες της στη δυνατότητα ανακάλυψης επαφών της εφαρμογής, παρέμεινε παρά τις προειδοποιήσεις στο Meta που χρονολογούνται από το 2017, εγείροντας σοβαρές ανησυχίες σχετικά με το απόρρητο των χρηστών στην πιο δημοφιλή πλατφόρμα ανταλλαγής μηνυμάτων στον κόσμο.
Το exploit βασίζεται στον ενσωματωμένο μηχανισμό του WhatsApp για την εύρεση επαφών, ο οποίος αποκαλύπτει εάν ένας χρήστης είναι στην υπηρεσία και δημόσιες λεπτομέρειες όπως φωτογραφίες προφίλ και κείμενα κατάστασης όταν εισάγεται ένας αριθμός τηλεφώνου.
Ερευνητές ασφαλείας από το Πανεπιστήμιο της Βιέννης απέδειξαν το ελάττωμα ρωτώντας συστηματικά δισεκατομμύρια πιθανούς αριθμούς, επιβεβαιώνοντας ενεργούς λογαριασμούς με ρυθμό άνω των 100 εκατομμυρίων ανά ώρα χωρίς περιορισμούς από το WhatsApp.
Η μελέτη τους, που διεξήχθη μεταξύ Δεκεμβρίου 2024 και Απριλίου 2025, δημιούργησε ένα ολοκληρωμένο σύνολο δεδομένων χρησιμοποιώντας ένα εργαλείο που ονομάζεται libphonegen για τη δημιουργία ρεαλιστικών αριθμών τηλεφώνου σε 245 χώρες.
Αξιοποιώντας το πρωτόκολλο XMPP του WhatsApp μέσω ενός τροποποιημένου προγράμματος-πελάτη ανοιχτού κώδικα, η ομάδα είχε πρόσβαση όχι μόνο σε αριθμούς τηλεφώνου, αλλά και σε κλειδιά κρυπτογράφησης, χρονικές σημάνσεις και πληροφορίες δημόσιου προφίλ για το 56,7% των λογαριασμών.
Η ευπάθεια WhatsApp εκθέτει 3,5 δισεκατομμύρια χρήστες
Το εργαλείο ανακάλυψης επαφών του WhatsApp, σχεδιασμένο για ευκολία, δεν διαθέτει ισχυρό περιορισμό ρυθμού, επιτρέποντας την αυτοματοποιημένη απόξεση σε μαζική κλίμακα. Οι ερευνητές χρησιμοποίησαν μόλις πέντε πιστοποιημένους λογαριασμούς σε έναν διακομιστή πανεπιστημίου για να διερευνήσουν 63 δισεκατομμύρια πιθανούς αριθμούς, εντοπίζοντας 3,5 δισεκατομμύρια ενεργούς σε λιγότερο από έξι μήνες.
Για το 29,3% των χρηστών, τα κείμενα «σχετικά» αποκάλυψαν ευαίσθητες λεπτομέρειες, όπως πολιτικές απόψεις, θρησκευτικές πεποιθήσεις ή συνδέσμους προς άλλα προφίλ κοινωνικών μέσων.
Ανησυχητικά, η μελέτη αποκάλυψε 2,9 εκατομμύρια περιπτώσεις επαναχρησιμοποίησης δημόσιου κλειδιού, συμπεριλαμβανομένων ταυτότητας και προ-κλειδιών, που θα μπορούσαν να υπονομεύσουν την κρυπτογράφηση από άκρο σε άκρο εάν εκμεταλλευτούν κακόβουλους παράγοντες που χρησιμοποιούν ανεπίσημους πελάτες.
Ένα ακραίο παράδειγμα αφορούσε 20 αριθμούς των ΗΠΑ που μοιράζονταν ένα κλειδί όλων των μηδενικών, υποδηλώνοντας πιθανή απάτη ή κατεστραμμένες υλοποιήσεις.
Αυτή η ευπάθεια απηχεί προηγούμενες προειδοποιήσεις. ένας ερευνητής επισήμανε το ζήτημα το 2017, ωστόσο η Meta καθυστέρησε τις διορθώσεις για οκτώ χρόνια. Τα εκτεθειμένα δεδομένα επικαλύπτονται σημαντικά με προηγούμενες παραβιάσεις, όπως η διαρροή 500 εκατομμυρίων αριθμών στο Facebook το 2021, όπου σχεδόν οι μισοί παρέμειναν ενεργοί στο WhatsApp, αυξάνοντας τους κινδύνους για απάτες και στοχευμένες επιθέσεις.
Οι χρήστες σε χώρες που απαγορεύουν το WhatsApp, όπως η Κίνα, το Ιράν και η Βόρεια Κορέα, αντιμετωπίζουν μεγάλους κινδύνους, συμπεριλαμβανομένης της κρατικής επιτήρησης ή δίωξης.
Η Meta αναγνώρισε τα ευρήματα μέσω του προγράμματος επιβράβευσης σφαλμάτων τον Απρίλιο του 2025 και εφάρμοσε αυστηρότερα όρια τιμών τον Οκτώβριο του 2025, υποστηρίζοντας ότι τα δεδομένα ήταν ήδη δημόσια και τα μηνύματα παρέμειναν κρυπτογραφημένα.
Ο αντιπρόεδρος της Μηχανικής του WhatsApp, Nitin Gupta, δήλωσε ότι η εταιρεία αναπτύσσει μέτρα κατά της απόξεσης και η έρευνα βοήθησε να τεστάρουν το στρες, χωρίς να βρέθηκαν στοιχεία κακόβουλης εκμετάλλευσης.
Οι ερευνητές διέγραψαν υπεύθυνα τα δεδομένα τους και τόνισε ότι τα ιδιωτικά προφίλ περιόρισαν την έκθεση, αλλά επέκριναν τον Μέτα επειδή δεν αντιμετώπισε άμυνες κατά τη διάρκεια της έρευνας.
Παρά το έμπλαστρο, οι ειδικοί προειδοποιούν για παρατεταμένες απειλές. Οι επαγγελματικοί λογαριασμοί, που αποτελούν το 9% αυτών που έχουν αφαιρεθεί, συχνά εκθέτουν άθελά τους περισσότερα δεδομένα μέσω των λειτουργιών WhatsApp Business.
Το ελάττωμα υπογραμμίζει ευρύτερα ζητήματα στις επιθέσεις απαρίθμησης, όπου οι λειτουργίες ευκολίας γίνονται παγίδες απορρήτου, τροφοδοτώντας ενδεχομένως εκστρατείες ηλεκτρονικού ψαρέματος, ανταλλαγής SIM ή doxxing. Οι αναλυτές κυβερνοασφάλειας παροτρύνουν τους χρήστες να ορίσουν τα προφίλ σε ιδιωτικά, να αποφεύγουν την κοινή χρήση προσωπικών στοιχείων σε καταστάσεις και να παρακολουθούν για ύποπτη δραστηριότητα, ειδικά μετά τη διαρροή.
Αυτό το περιστατικό υπογραμμίζει τις προκλήσεις της ασφάλειας των πλατφορμών με δισεκατομμύρια χρήστες, όπου ακόμη και η «δημόσια» συγκέντρωση δεδομένων δημιουργεί ένα σκιερό οικοσύστημα προφίλ.
Καθώς το WhatsApp κυριαρχεί στα μηνύματα σε περιοχές όπως η Δυτική Αφρική, όπου το 80% των προφίλ ήταν δημόσια, οι κίνδυνοι κλοπής ταυτότητας και κυβερνοεπιθέσεων κλιμακώνονται.
| Τάξη | Χώρα | # Λογαριασμοί | Παγκόσμια κοινή χρήση | Android (%) | iOS (%) | εικόνα (%) | Σχετικά με το κείμενο (%) | Επιχειρήσεις (%) | Σύντροφοι (%) |
|---|---|---|---|---|---|---|---|---|---|
| 1 | Ινδία | 749.075.246 | 21,67% | 95 | 5 | 62.2 | 29.5 | 9.8 | 6.2 |
| 2 | Ινδονησία | 235.245.077 | 6,81% | 92 | 8 | 49.1 | 27.5 | 10.7 | 9.3 |
| 3 | Βραζιλία | 206.949.224 | 5,99% | 81 | 19 | 61.1 | 41,5 | 10.3 | 15.5 |
| 4 | Ηνωμένες Πολιτείες | 137.859.284 | 3,99% | 33 | 67 | 44.0 | 32.8 | 2.4 | 6.1 |
| 5 | Ρωσία | 132.855.022 | 3,84% | 76 | 24 | 61,7 | 33.5 | 3.6 | 9.4 |
| 6 | Μεξικό | 128.324.166 | 3,71% | 82 | 18 | 46.1 | 23.3 | 4.1 | 11.7 |
| 7 | Πακιστάν | 98.277.665 | 2,84% | 95 | 5 | 58,5 | 20.0 | 21.7 | 5.4 |
| 8 | Γερμανία | 74.565.425 | 2,16% | 58 | 42 | 51,0 | 35.4 | 2.2 | 13.4 |
| 9 | Türkiye | 72.131.903 | 2,09% | 73 | 27 | 48.0 | 33.4 | 3.0 | 12.0 |
| 10 | Αίγυπτος | 69.317.806 | 2,01% | 90 | 10 | 53.2 | 25.1 | 11.3 | 6.1 |
| 11–245 | Άλλοι | 1.552.021.571 | 44,90% | 77 | 23 | 56,9 | 27.9 | 9.3 | 9.0 |
| Καθολικός | (245 χώρες) | 3.456.622.389 | 100,00% | 81 | 19 | 56.7 | 29.3 | 9.0 | 8.8 |
Οι ρυθμιστικές αρχές ενδέχεται να εξετάσουν περαιτέρω τη Meta μετά από πρόστιμα GDPR για προηγούμενα λάθη, πιέζοντας για προληπτικές άμυνες όπως προηγμένη CAPTCHA ή ανάλυση συμπεριφοράς.
