Το WhatsApp έχει χτίσει τη δημοτικότητά του στην ευκολία με την οποία μπορεί κανείς να εντοπίσει άλλους χρήστες∙ αρκεί ένας αριθμός τηλεφώνου.
Αυτή η απλότητα, όμως, φαίνεται πως είχε και σοβαρές συνέπειες, καθώς μέχρι πρόσφατα ο αριθμός κάθε χρήστη μπορούσε να εντοπιστεί χωρίς ιδιαίτερη δυσκολία — ακόμη και από κακόβουλους φορείς.
Την ευπάθεια αυτή αποκάλυψαν Αυστριακοί ερευνητές, οι οποίοι κατάφεραν να εξάγουν αριθμούς τηλεφώνου όλων των περίπου 3,5 δισεκατομμυρίων χρηστών της υπηρεσίας. Για το 57% αυτών, ήταν δυνατό να ανακτηθούν και οι φωτογραφίες προφίλ, ενώ για επιπλέον 29% μπόρεσαν να διαβαστούν και τα κείμενα των προφίλ τους.
Αυτό που προκαλεί ακόμη μεγαλύτερη εντύπωση είναι ότι δεν χρειάστηκε κανενός είδους πολύπλοκη μέθοδος hacking. Οι ερευνητές απλώς δοκίμαζαν συστηματικά τεράστιο όγκο τηλεφωνικών αριθμών, όπως θα έκανε οποιοσδήποτε χρήστης όταν προσθέτει μια επαφή. Μέσω της λειτουργίας WhatsApp Web, το σύστημα αποκάλυπτε αν ο αριθμός ανήκει σε λογαριασμό και εμφάνιζε όλες τις διαθέσιμες πληροφορίες προφίλ.
Χρησιμοποιώντας αυτή τη διαδικασία σε μαζική κλίμακα, κατάφεραν νωρίτερα μέσα στη χρονιά να ελέγχουν έως και 100 εκατομμύρια αριθμούς την ώρα. Παρά το γεγονός ότι ένας άλλος ερευνητής είχε ειδοποιήσει τη Meta ήδη από το 2017 για το ζήτημα, φαίνεται πως δεν είχαν ληφθεί ουσιαστικά μέτρα.
Η Meta ενημερώθηκε ξανά από τους Αυστριακούς ερευνητές τον Απρίλιο και, τελικά, τον Οκτώβριο εφαρμόστηκε περιορισμός ρυθμού, ώστε να μπλοκάρεται η μαζική ανίχνευση επαφών. Ωστόσο, για πολλά χρόνια η ευπάθεια παρέμεινε εκμεταλλεύσιμη, αφήνοντας «παράθυρο» για κάθε είδους κακόβουλη χρήση.
Από τη μεριά της, η εταιρεία υποστηρίζει ότι οι πληροφορίες που συλλέχθηκαν θεωρούνται «βασικά δημόσια διαθέσιμα δεδομένα» και πως φωτογραφίες και περιγραφές προφίλ χρηστών που είχαν ενεργοποιήσει τις ρυθμίσεις ιδιωτικότητας δεν ήταν ορατές. Τόνισε επίσης ότι δεν βρέθηκαν αποδείξεις πως κακόβουλοι φορείς έκαναν κατάχρηση αυτής της αδυναμίας ή πως διέρρευσαν μη δημόσια δεδομένα.
