Функция WhatsApp для поиска контактов по номерам телефонов, вероятно, не имеет ограничения по скорости поиска и не блокируется при множестве обращений, следует из отчета исследователей из Венского университета. Таким образом, они смогли «пробить» 3,5 млрд зарегистрированных телефонных номеров, что в иной ситуации можно было бы назвать крупнейшей утечкой данных в истории.
У WhatsApp есть реестр пользователей, привязанный к их номерам телефонов — это нужно для беспрепятственного поиска контактов. Пользователи могут при установке приложения предоставить разрешение на доступ к своей локальной адресной книге и загрузить ее на серверы WhatsApp, получив в ответ доступ к данным о том, кто из контактов зарегистрирован в мессенджере. Но этим также можно злоупотреблять для проверки, подчеркивают исследователи.
Они разработали метод генерации датасетов с потенциально активными номерами телефонов для 245 стран, и искали контакты с частотой 7 тыс. номеров в секунду. Выявленные 3,5 млрд зарегистрированных в WhatsApp номеров превышают заявленные мессенджером «более 2 млрд». Случаи массовой проверки телефонов были и ранее.
«Поскольку зарегистрированный номер обычно указывает на активное устройство, эти списки являются надежной основой для спама, фишинга или обзвонов ботами. Это поднимает вопрос о том, как долго собранная информация остается актуальной и может быть использована злоумышленниками», — указывают составители материала. «Так как мы предполагали, что запросы, всегда исходящие от одного IP-адреса и одних и тех же пяти аккаунтов, будут быстро ограничиваться и блокироваться, мы изначально сосредоточились на США, чтобы определить, сколько номеров, утекших в 2019 году, все еще активны. К нашему удивлению, ни IP-адрес, ни наши аккаунты не были заблокированы [за попытки]. Более того, мы не сталкивались с какими-либо ограничениями по скорости», — отмечается в отчете.
Согласно данным по «пробитым» аккаунтам, более 57% пользователей в мире имеют доступную всем фотографию в профиле. 9% глобально — бизнес-аккаунты. В материале также приведены данные по множеству стран. Но исследователи заверили, что их работа — это научное исследование, они не будут ни публиковать «сырые» данные, ни сохранять их после анализа.