Cercetători de la Universitatea din Viena și SBA Research au demonstrat că o vulnerabilitate în mecanismul de contact-discovery al WhatsApp a permis generarea unei baze de date uriașe cu numere de telefon și informații asociate.
Problema pornea de la lipsa unor limitări de rată în API-ul platformei, ceea ce a făcut posibilă interogarea masivă a serverelor fără a declanșa măsuri de protecție.
WhatsApp a remediat ulterior situația, însă incidentul evidențiază riscurile majore create de API-urile expuse fără controale adecvate.
Studiul, deși realizat în scop academic și fără publicarea datelor, arată cât de ușor pot fi exploatate API-urile neprotejate pentru a extrage informații sensibile la scară globală, scrie Bleeping Computer.
În absența unor limitări stricte, asemenea mecanisme devin rapid instrumente puternice pentru atacatori care urmăresc să colecteze date personale.
Cum au exploatat cercetătorii API-ul WhatsApp
Echipa a folosit funcția de descoperire a contactelor, care permite verificarea unui număr de telefon prin endpoint-ul GetDeviceList, pentru a afla dacă acesta este asociat unui cont WhatsApp și ce dispozitive sunt conectate.
Deoarece API-ul nu impunea restricții privind numărul de solicitări, serverele WhatsApp au acceptat automat un volum impresionant de interogări: peste 100 de milioane de numere verificate pe oră.
Operațiunea a fost derulată de pe un singur server universitar, folosind doar cinci sesiuni autentificate. În mod surprinzător, platforma nu a blocat conturile, nu a încetinit traficul și nu a restricționat adresa IP, în ciuda comportamentului evident anormal.
Cercetătorii au generat o listă de 63 de miliarde de combinații posibile de numere de mobil și au testat fiecare variantă. Rezultatul: 3,5 miliarde de conturi WhatsApp active identificate.
Distribuția globală a utilizatorilor activi evidențiază dominanța platformei în anumite regiuni:
- India: 749 de milioane
- Indonezia: 235 de milioane
- Brazilia: 206 de milioane
- Statele Unite: 138 de milioane
- Rusia: 133 de milioane
- Mexic: 128 de milioane
Au fost identificate și milioane de conturi în țări unde WhatsApp era interzis la momentul respectiv, precum China, Iran, Coreea de Nord sau Myanmar. În Iran, utilizarea continuă a crescut după ridicarea interdicției în decembrie 2024.
Ce date au putut fi colectate și riscurile pe termen lung
Folosind alte endpoint-uri ale API-ului, GetUserInfo, GetPrekeys și FetchPicture, cercetătorii au extras inclusiv fotografii de profil, textul „about”, precum și informații despre dispozitivele asociate unui cont.
Într-un test realizat pe numere din SUA, au fost descărcate 77 de milioane de poze de profil fără nicio restricție, iar multe dintre acestea includeau fețe identificabile. De asemenea, descrierile „about” dezvăluiau detalii personale și linkuri către alte rețele sociale.
Când rezultatele au fost comparate cu scurgerea masivă de numere asociate Facebook din 2021, s-a constatat că 58% dintre acele numere erau încă active pe WhatsApp în 2025.
Acest lucru arată că datele obținute prin scraping își păstrează valoarea pentru atacatori mulți ani, alimentând campanii de phishing, inginerie socială sau alte forme de abuz.
Cercetătorii subliniază că, dacă ar fi fost publicat, setul de date colectat, care include numere de telefon, timestamp-uri, poze de profil, texte „about” și chei publice pentru criptarea end-to-end, ar fi reprezentat una dintre cele mai mari scurgeri de date din istorie.
Situații similare au fost observate la Facebook, Twitter și Dell, toate cauzate de API-uri fără limitări adecvate, exploatate pentru colectarea masivă de date. Incidentul WhatsApp confirmă din nou că lipsa controalelor de securitate în API-uri rămâne una dintre principalele vulnerabilități ale platformelor moderne.