У WhatsApp знайшли діру, що дозволила зібрати дані 3,5 млрд користувачів — найбільший потенційний витік в історії

24.11.2025 1 хвилин Автор: Newsman

Дослідники змогли зібрати базу даних із 3,5 млрд WhatsApp-акаунтів, використавши уразливу API-функцію, що не мала жодних лімітів на кількість запитів. Хоч WhatsApp уже закрив дірку, інцидент демонструє, наскільки легко загрозливі актори можуть масово збирати персональні дані мільярдів людей.

Команда дослідників з Університету Відня та SBA Research зловживала API WhatsApp, який дозволяв перевіряти, чи зареєстрований номер телефону в сервісі, та отримувати інформацію про пов’язані пристрої.

Проблема була у відсутності rate limiting — платформа не обмежувала кількість запитів, не блокувала активність, не відстежувала підозрілу поведінку та не реагувала навіть тоді, коли один сервер робив понад 100 млн запитів на годину. Дослідники згенерували масив у 63 млрд можливих номерів та прогнали їх через API, отримавши результат: 3,5 млрд активних акаунтів WhatsApp зі 190+ країн.

Крім того, інші API дозволили зібрати:

  • фото профілю,

  • статус “About”,

  • публічні ключі E2EE,

  • дані про інші підключені пристрої.

Для американських номерів дослідники завантажили 77 млн фотографій профілю без жодних обмежень — і багато з них показували обличчя користувачів.

Дослідження також показало, що:

  • 58% номерів, злитих у витоку Facebook у 2021 році, досі активні в WhatsApp,

  • мільйони користувачів є в країнах, де WhatsApp заборонений — зокрема в Китаї, Північній Кореї та Ірані.

API без обмежень — давно улюблена ціль хакерів та скрейперів.
За аналогічною схемою:

  • у 2021 році з Facebook скрейпили 533 млн номерів,

  • через уразливий API Twitter викрали дані 54 млн акаунтів,

  • API Dell дозволив витягнути 49 млн записів клієнтів.

Корінь проблеми — відкриті API, що дозволяють масові перевірки телефонів або пошти без обмеження запитів і без поведінкового аналізу. Хоч WhatsApp і додав rate limiting після повідомлення від дослідників, інцидент показує: будь-який відкритий API без обмежень може стати джерелом витоку світового масштабу. Навіть без злому серверів зловмисники можуть збирати мільярди записів, створюючи бази даних, які роками використовуватимуться для фішингу, шантажу, атак та соціальної інженерії.

Підписатися
Сповістити про
0 Коментарі
Найстаріші
Найновіше Найбільше голосів
Інші статті по темі
Знайшли помилку?
Якщо ви знайшли помилку, зробіть скріншот і надішліть його боту.