WhatsApp: luka enumeracyjna umożliwiła „spis powszechny” 3,5 mld kont. Co naprawdę wyciekło i jak się bronić?

Wprowadzenie do problemu / definicja luki

Zespół badaczy z Uniwersytetu Wiedeńskiego i SBA Research ujawnił krytyczną słabość mechanizmu „odkrywania kontaktów” w WhatsApp. Funkcja, która ma ułatwiać znalezienie znajomych po numerze telefonu, pozwalała na hurtową enumerację: automatyczne sprawdzanie, czy numer jest zarejestrowany oraz pobieranie publicznych elementów profilu (nazwy, zdjęcia, opisu „O mnie”, kluczy publicznych). W efekcie badacze potwierdzili 3,5 miliarda aktywnych kont i zebrali powiązane metadane. Meta (właściciel WhatsAppa) wdrożyła środki ograniczające po zgłoszeniu, a badacze potwierdzili, iż w tej chwili metoda jest blokowana.

W skrócie

• Skala: potwierdzono 3,5 mld numerów WhatsApp; tempo pozyskiwania danych sięgało ~100 mln wpisów/h, bez skutecznego rate limitu. 57% profili miało publiczne zdjęcia, ~29% — publiczny opis.
• Wejście: wystarczył generator numerów i zapytania do mechanizmu wykrywania kontaktów (m.in. w oparciu o libphonenumber).
• Status: Meta wdrożyła „nowe zabezpieczenia anty-scrapingowe”; badacze mówią, iż dziś ich metoda jest blokowana.
• Ryzyka: spam/robocalls, phishing ukierunkowany, deanonymizacja (powiązania zdjęć/tekstów profilu), ryzyko dla użytkowników w krajach, gdzie WhatsApp jest zakazany.

Kontekst / historia / powiązania

Badanie to kolejny etap prac zespołu nad prywatnością komunikatorów E2EE. Akademicki komunikat Uniwersytetu Wiedeńskiego wskazuje na odpowiedzialne ujawnienie i współpracę z Meta; luka została „zmitigowana”. Jednocześnie relacje prasowe podkreślają, iż pełna reakcja po stronie WhatsAppa zajęła wiele miesięcy od pierwszych zgłoszeń.

Analiza techniczna / szczegóły luki

• Wektor: API/flow „Contact Discovery” zdradzało binarnie, czy numer istnieje w WhatsApp. Zautomatyzowane zapytania na listach kolejnych numerów (generowanych np. z wykorzystaniem bibliotek numeracji telefonicznej) pozwalały na masowe potwierdzanie kont.
• Pobierane dane: dla kont z domyślnie publicznymi elementami — nazwa, zdjęcie profilowe, tekst statusu/„O mnie”, a także klucze publiczne używane w E2EE (co nie daje dostępu do treści, ale ma implikacje operacyjne).
• Wydajność ataku: badacze raportują ~7000 numerów/s na sesję, brak realnych blokad po stronie serwisu i możliwość potwierdzenia 3,5 mld numerów po sprawdzeniu ~63 mld wygenerowanych pozycji.
• Ciekawostki kryptograficzne: w zebranym zbiorze odnotowano powtórzenia kluczy publicznych u części kont (prawdopodobnie efekt nieoficjalnych klientów/automatyzacji, a nie błąd protokołu WhatsAppa). Nie oznacza to złamania E2EE, ale może wskazywać na słabe implementacje po stronie nieautoryzowanych aplikacji.
• Kontratak i obecny stan: WhatsApp wdrożył nowe mechanizmy anty-scrapingowe i rate-limiting; ponowne testy badaczy po publikacji miały zostać gwałtownie zablokowane.

Praktyczne konsekwencje / ryzyko

1. Zwiększona skuteczność oszustw: kompletne słowniki aktywnych numerów ułatwiają smishing, spam VOIP/robocalls i podszywanie się na WhatsApp (np. ataki „na dziecko/na szefa”). Publiczne zdjęcia i statusy pomagają w personalizacji socjotechniki.
2. Ryzyko dla osób wysokiego ryzyka: możliwa deanonimizacja (np. po zdjęciach i opisach), a także identyfikacja użytkowników w krajach z banem na WhatsApp — potencjalne konsekwencje prawne lub represje.
3. Mapowanie infrastruktury przestępczej (perspektywa obrony): klucze i wzorce powtarzalności mogą pomagać wykrywać farmy kont oraz klientów nieoficjalnych używanych przez scammerów.

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników (od ręki)

• Ustawienia prywatności → Zdjęcie profilowe, Informacje, Ostatnio widziano: ustaw „Tylko kontakty” lub „Nikt”. Rozważ neutralne zdjęcie/bez twarzy. (Zmniejsza ekspozycję przy ewentualnych kolejnych słabościach enumeracyjnych).
• Weryfikacja dwuetapowa (PIN) w WhatsApp oraz blokada karty SIM (PIN SIM) — ogranicza skutki przejęć numeru.
• Czujność na smishing: nie klikaj linków w niespodziewanych wiadomościach, weryfikuj przelewy poza komunikatorem.

Dla zespołów bezpieczeństwa (organizacje)

• Reguły detekcji: monitoruj kampanie smishingowe kierowane do firmowych numerów/WhatsApp Business; koreluj z masowymi próbami na innych kanałach.
• Polityka komunikacji: nie używaj WhatsApp do wrażliwych ustaleń biznesowych; jeżeli już, wymuś minimalną ekspozycję profilu i edukuj pracowników.
• Ochrona VIP/eksponowanych ról: przegląd ustawień prywatności, rotacja zdjęć, „higiena” statusów (bez informacji o podróżach, stanowisku itp.).
• Filtry po stronie operatorów/UCaaS: wdrażaj filtry anty-robocall, numery „pułapki” i sinkhole do wczesnego wykrywania kampanii.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

• „Scraping” vs klasyczny wyciek: to nie włamanie do bazy danych, ale masowe odczytanie publicznie dostępnych elementów przez funkcję kontakt-discovery, w połączeniu z brakiem skutecznego rate-limitingu. Konsekwencje mogą być porównywalne do wycieków, bo tworzą „książkę telefoniczną świata” z kontekstem (zdjęcia/teksty).
• Powiązanie z „wielkim skrobaniem Facebooka 2021”: badacze wskazują, iż znaczna część numerów z tamtego zbioru pozostaje aktywna — to podnosi wartość kombinacji starych i nowych danych dla przestępców.

Podsumowanie / najważniejsze wnioski

• Mechanizm „odkrywania kontaktów” w usługach opartych na numerach telefonu z natury sprzyja enumeracji.
• Nawet jeżeli Meta załatała wektor i dziś blokuje scraping, ryzyko resztkowe pozostaje — dane mogły być już pozyskane, a sam model identyfikacji po numerze jest trudny do pełnego zabezpieczenia.
• Minimalizuj ekspozycję profilu i przygotuj organizację na wzmożone kampanie socjotechniczne oparte na numerach WhatsApp.

Źródła / bibliografia

1. University of Vienna – komunikat prasowy o luce i mitigacji. (Universität Wien)
2. SBA Research – notatka o badaniu i potwierdzeniu wdrożonych zabezpieczeń. (sba-research.org)
3. WIRED – artykuł z technicznymi szczegółami (tempo enumeracji, statystyki profili, powtórzenia kluczy) oraz stanowiskiem WhatsApp. (WIRED)
4. The Register – relacja z komentarzami badaczy i inżyniera WhatsApp (stan po wdrożeniu środków anty-scrapingowych). (The Register)
5. Repozytorium GitHub projektu whatsapp-census (opis i materiały badania). (GitHub)