یک نقص امنیتی ساده در واتساپ شماره تلفن ۳.۵ میلیارد کاربر را افشا کرد!

گروهی از پژوهشگران دانشگاه وین در اتریش اعلام کردند یک ضعف ساده در سازوکار «کشف مخاطب» واتساپ باعث شده بتوان شماره تلفن ۳.۵ میلیارد کاربر این پیام‌رسان را استخراج کرد؛ آن‌ها این رخداد را «بزرگ‌ترین افشای شماره تلفن در تاریخ» توصیف کرده‌اند.

واتساپ برای سادگی استفاده، به‌محض وارد کردن یک شماره تلفن به لیست مخاطبین، نشان می‌دهد که آیا آن شماره عضو واتساپ هست یا نه و اغلب، عکس پروفایل و نام کاربر را هم نمایش می‌دهد. پژوهشگران با خودکارسازی همین قابلیت و امتحان کردن طیف عظیمی از شماره‌های ممکن، توانستند در هر ساعت حدود ۱۰۰ میلیون شماره را بررسی و پایگاه داده‌ای عظیم از کاربران واتساپ تهیه کنند.

به گفته‌ی پژوهشگران، در مجموع برای ۵۷ درصد حساب‌ها، عکس پروفایل و برای ۲۹ درصد متن پروفایل (About) هم در دسترس بوده. در ایالات متحده، بررسی ۱۳۷ میلیون شماره نشان داده ۴۴ درصد کاربران عکس پروفایل عمومی و ۳۳ درصد متن عمومی داشته‌اند؛ در هند این نسبت برای عکس پروفایل به ۶۲ درصد میان حدود ۷۵۰ میلیون شماره رسیده و در برزیل نیز ۶۱ درصد از ۲۰۶ میلیون حساب عکس پروفایل عمومی داشته‌اند.

متا، شرکت مادر واتساپ، می‌گوید پژوهشگران این مشکل را در آوریل ۲۰۲۵ از طریق برنامه «باگ بانتی» گزارش کرده‌اند و داده‌های جمع‌آوری‌شده نیز توسط تیم تحقیق حذف شده (شما این قسمت ماجرا را باور می‌کنید!؟).

 به گفته متا، در اکتبر با اعمال سیاست‌های شدیدتر «محدودیت نرخ درخواست» (Rate Limiting) در نسخه تحت‌وب واتساپ، امکان تکرار این رفتار مسدود و هیچ شواهدی از سوءاستفاده مهاجمان از این نقص یافت نشده است. این شرکت تأکید می‌کند محتوای پیام‌ها همچنان به‌دلیل رمزنگاری سرتاسری محرمانه بوده است.

پژوهشگران در جمع‌بندی، مشکل را فراتر از یک باگ ساده می‌دانند و می‌گویند: «شماره تلفن» به‌طور ذاتی فضای کافی برای شناسه‌ی محرمانه و تصادفی بودن در مقیاس میلیاردی ندارد. در نتیجه، اگر سرویس‌هایی مثل واتساپ همچنان شماره تلفن را محور هویت کاربر و کشف مخاطب نگه دارند، حتی پیشرفته‌ترین روش‌ها هم هرگز نمی‌تواند به‌طور کامل خطر نشت‌های عظیم را از بین ببرد.

واتساپ می‌گوید که در حال آزمایش قابلیت تعریف «نام کاربری» است که می‌تواند به‌عنوان جایگزینی خصوصی‌تر برای شماره تلفن عمل کند.