3,5 миллиарда номеров в открытом доступе. Учёные смогли собрать базу всех пользователей WhatsApp за пару часов
Meta восемь лет знала об уязвимости WhatsApp, позволяющей скачать базу данных. Масштабы утечки, которую описала команда из Венского университета, показывают, насколько опасной может оказаться привычная функция поиска контактов в популярных мессенджерах. WhatsApp всегда делал упор на удобное добавление новых людей: достаточно ввести телефон в телефонную книгу, и сервис мгновенно показывает, зарегистрирован ли человек в приложении, открывая при этом имя, фотографию и часть профиля. Однако такая простота стала основой для одного из самых больших сборов данных о пользователях в истории, и всё произошло без взлома или обхода технических барьеров.
Исследователи из Австрии решили проверить, можно ли с помощью автоматического перебора номеров узнать, кто именно пользуется WhatsApp. Они запустили этот процесс, и всего за несколько часов стало ясно, что ограничений почти нет. Сервис позволял отправлять нелимитированное количество запросов через веб-версию, и в результате команда смогла построить базу из 3,5 млрд номеров — то есть фактически собрать информацию о каждом пользователе приложения на планете. Почти для 57% записей дополнительно удалось получить фотографии профилей, а почти для трети — текстовые статусы, которые многие люди используют как краткую самопрезентацию.
По описанию самих исследователей, это была бы крупнейшая известная утечка номеров и открытых элементов профиля, если бы данные не собирались исключительно в рамках научной работы. Они сообщили о находке весной и удалили весь массив, однако до октября система оставалась полностью уязвимой, а значит, аналогичную операцию мог провести кто угодно — от спамеров до государственных структур, отслеживающих нежелательную активность своих граждан.
Несмотря на уверения Meta*, что компания внедряет всё более эффективные защитные механизмы от массового сбора данных, команда из Вены утверждает, что в реальности не увидела никаких ограничений. Они напомнили, что о подобной проблеме WhatsApp предупреждали ещё в 2017 году: голландский исследователь Лоран Клёзе тогда описал схему массовой проверки номеров и показывал, что можно собирать не только информацию профиля, но и время пребывания онлайн. Даже тогда компания заявила, что всё работает в рамках стандартных настроек конфиденциальности.
Сравнение нынешних результатов с теми, что были восемь лет назад, показывает, насколько вырос риск. Если раньше речь шла о десятках миллионов потенциально доступных записей, сейчас сервисом пользуются больше трети населения Земли, а номер сам по себе давно перестал быть чем-то случайным. Исследователи подчёркивают, что телефон не может выступать в роли секретного идентификатора: диапазоны нумерации ограничены, а значит, перебор становится всегда возможным, если нет строгих ограничений на количество запросов.
Команда также изучила особенности профилей по странам. В США из собранных 137 млн номеров открытые фотографии имели 44 процента пользователей, а текстовые статусы — около трети. В Индии, где WhatsApp используется значительно шире, открытыми оказались уже 62 процента профилей из 750 млн. В Бразилии показатель почти такой же — 61 процент из 206 млн. Чем популярнее сервис, тем меньше людей меняют настройки конфиденциальности, и тем шире круг тех, кто оставляет в доступе свои изображения и описания.
Отдельную тревогу вызвало обнаружение миллионов номеров в странах, где WhatsApp официально заблокирован. Исследователи нашли 2,3 млн таких записей для Китая и 1,6 млн для Мьянмы. Наличие этой информации позволяет местным властям отследить людей, которые обходят запреты, а в некоторых случаях — использовать это как основание для преследования. Известны сообщения о том, что в Китае людей задерживали уже за сам факт наличия приложения.
При анализе ключей, которые используются в протоколе сквозного шифрования для получения сообщений, команда заметила ещё одну аномалию: значительное количество повторяющихся значений. Некоторые ключи использовались сотни раз, а около двух десятков американских номеров оказались привязаны к нулевому ключу. Исследователи подозревают, что речь идёт о сторонних, неофициальных клиентах WhatsApp, которые активно применяют мошеннические группы. На это указывает и поведение некоторых аккаунтов с повторяющимися ключами — они явно выглядели как инструменты для мошенничества или массовых рассылок.
Главная проблема, на которую указывает команда, — не только отсутствие ограничений, но и конструктивный выбор привязки идентификатора к телефонному номеру. При такой схеме сервис не может обеспечить полноценную защиту от массового сбора данных, если хочет сохранить простоту поиска контактов. Meta уже тестирует альтернативу в виде внутренних имён пользователей, и возможно, переход на такую модель станет обязательным шагом для снижения рисков.
Австрийские исследователи подчёркивают, что их работа показывает уязвимость целой категории сервисов, где телефон используется как основной идентификатор. Популярность превращает эти системы в источник огромных массивов данных, которые оказываются доступны без каких-либо технических обходов. Для сервиса с многомиллиардной аудиторией это означает, что соблюдение конфиденциальности должно опираться не только на политику и настройки, но прежде всего на строгие технические ограничения и отказ от слишком предсказуемых схем идентификации.
* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.
