WhatsApp: luka w API pozwoliła zeskrobać 3,5 mld kont. Co to oznacza dla prywatności?

Wprowadzenie do problemu / definicja luki

Zespół badawczy z Uniwersytetu Wiedeńskiego wykazał, iż mechanizm contact discovery w WhatsApp (czyli sprawdzanie, czy dany numer jest zarejestrowany) można było automatycznie „odpytywać” na masową skalę, bez skutecznych limitów zapytań. To umożliwiło enumerację numerów i zbudowanie katalogu ok. 3,5 mld kont wraz z publicznie dostępnymi metadanymi profili (np. zdjęcie, opis „O mnie”, znacznik konta firmowego). Meta (właściciel WhatsAppa) po zgłoszeniu wprowadziła dodatkowe ograniczenia tempa zapytań (rate limiting).

W skrócie

• Zakres: możliwa enumeracja ~3,5 mld numerów powiązanych z kontami WhatsApp i pobranie publicznych danych profili.
• Wektor: nadużycie funkcji contact discovery przez automatyczne testowanie dużych zakresów numerów (brak skutecznego rate limiting).
• Status naprawy: Meta wdrożyła dodatkowe zabezpieczenia po zgłoszeniu badaczy.
• E2EE: Szyfrowanie wiadomości end-to-end nie zostało złamane, ale ekspozycja numerów i metadanych zwiększa ryzyko nadużyć (phishing, doxing, OSINT).

Kontekst / historia / powiązania

Enumeracja poprzez „sprawdzanie dostępności” numeru to znany problem projektowy w aplikacjach opartych o telefon jako identyfikator. Podobne zjawiska obserwowano w przeszłości w innych komunikatorach i serwisach społecznościowych; ostrzegano też, iż telefon jako główny identyfikator ułatwia łączenie tożsamości i tworzenie baz OSINT. Sprawa WhatsAppa jest jednak wyjątkowa skalą — badacze mówią o „najszerszej ekspozycji numerów telefonów w historii”.

Analiza techniczna / szczegóły luki

Badacze generowali i testowali masowo zakresy numerów telefonów z wielu krajów. Każde zapytanie do mechanizmu contact discovery pozwalało ustalić, czy numer jest kontem WhatsApp — a jeżeli tak, zaciągnąć publicznie udostępnione dane profilu (np. avatar, opis, znacznik „Business”), znaczniki czasu i inne elementy. Brak twardych limitów zapytań umożliwiał bardzo szybkie tempo enumeracji. Po odpowiedzialnym ujawnieniu Meta uszczelniła ograniczenia (rate limiting), utrudniając masowe skanowanie.

Dlaczego to działa?

• WhatsApp musi odpowiedzieć, czy kontakt istnieje — inaczej nie da się wygodnie budować list znajomych.
• Jeśli endpoint odpowiada bez adekwatnych limitów i heurystyk anty-automatyzacyjnych, napastnik może „przelecieć” ogromne przestrzenie numeracji.
• Każdy dodatkowy bit publicznej informacji (avatar, opis) zwiększa entropię identyfikacyjną i wartość danych dla ataków socjotechnicznych.

Praktyczne konsekwencje / ryzyko

• Targetowany phishing/Smishing: precyzyjne listy numerów WhatsApp, z lokalizacją krajową i metadanymi profilu, ułatwiają kampanie podszywania.
• Doxing i nękanie: skojarzenie numeru z wizerunkiem i statusem konta pomaga w identyfikacji osoby.
• Fraudy „na firmę”: oznaczenia Business mogą prowadzić do podszywania się pod firmy/klientów w łańcuchach dostaw.
• OSINT na masową skalę: budowa grafów społecznych i wzbogacanie baz marketingowych/szpiegowskich.

Uwaga: według Meta, treść komunikacji pozostała zaszyfrowana E2E; mówimy o wycieku informacji o kontach/identyfikatorach, nie o odszyfrowaniu rozmów.

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników:

1. Ustawienia prywatności → ogranicz widoczność zdjęcia profilowego, „O mnie”, statusu i informacji „Kto może zobaczyć…?” do „Moje kontakty” lub „Nikt”.
2. Rozważ oddzielenie numeru do komunikatorów od numeru „urzędowego”/bankowego.
3. Weryfikuj wiadomości: nie klikaj linków z nieznanych źródeł; potwierdzaj tożsamość innym kanałem.
4. Zgłaszaj nadużycia w aplikacji; blokuj nieznane numery.

Dla firm/SOC:

1. Polityka BYOD/komunikatorów: ograniczaj użycie numerów pracowników jako oficjalnych identyfikatorów; rozważ konta firmowe z kontrolami prywatności.
2. Reguły detekcji: w SIEM/SOAR dodaj wzorce smishingu i kampanii podszywania z WhatsApp (URL shortenery, popularne domeny phishingowe).
3. Szkolenia phishingowe ukierunkowane na WhatsApp/sms.
4. DLP/OSINT: monitoruj paste’y i rynki danych pod kątem list „WhatsApp leads”.
5. Weryfikacja klientów: w procesach obsługi klienta nie polegaj wyłącznie na identyfikacji numerem/WhatsApp.

Różnice / porównania z innymi przypadkami

• Projekt vs. exploit: To nie był „remote code execution”, ale problem projektowy (design flaw) + niedostateczny rate limiting — podobnie jak znane w przeszłości wycieki z mechanizmów „czy ten e-mail istnieje?”.
• Unikalna skala: rzadko spotykamy możliwość enumeracji globalnej bazy użytkowników popularnego komunikatora w tak krótkim czasie.

Podsumowanie / najważniejsze wnioski

• WhatsApp naprawił lukę po zgłoszeniu, jednak numer telefonu jako identyfikator pozostaje podatnym punktem wielu usług.
• Organizacje powinny zakładać, iż „publiczne metadane” (avatar, opis, obecność w usłudze) mogą zostać zebrane hurtowo i wykorzystane w atakach.
• Twarde rate limiting + heurystyki anty-botowe + telemetryjne sygnały nadużyć to obowiązek przy funkcjach „discovery”.

Źródła / bibliografia

• BleepingComputer: „WhatsApp API flaw let researchers scrape 3.5 billion accounts” (22 listopada 2025). (BleepingComputer)
• University of Vienna — komunikat o badaniach (listopad 2025). (Universität Wien)
• WIRED: „A Simple WhatsApp Security Flaw Exposed 3.5 Billion Phone Numbers” (listopad 2025). (WIRED)
• SecurityWeek: „Vulnerability Allowed Scraping of 3.5 Billion WhatsApp Accounts” (20 listopada 2025). (SecurityWeek)
• CSO Online: „WhatsApp flaw allowed discovery of the 3.5 billion mobile numbers…” (listopad 2025). (csoonline.com)