WhatsApp se po letech stal terčem pozornosti bezpečnostních expertů kvůli znepokojivé chybě, která umožňovala získat telefonní čísla téměř všech jeho uživatelů. Problém je o to závažnější, že Meta byla na tuto zranitelnost upozorněna už v roce 2017.
Funkce, která uživatelům umožňuje rychle najít nové kontakty podle telefonního čísla, se ukázala být slabinou. Zjednodušeně řečeno: přidáte-li něčí číslo, WhatsApp okamžitě ukáže, zda daný člověk službu používá, a často také jeho profilovou fotografii a jméno. Výzkumníci z Univerzity ve Vídni zjistili, že pokud tuto funkci zopakujete miliardy krát – pro téměř každé možné číslo – můžete získat telefonní čísla prakticky všech uživatelů WhatsApp na světě, a často i další identifikující informace. Tým rakouských vědců během studie dokázal za pouhých 30 minut získat prvních 30 milionů amerických čísel a následně pokračoval dál. Aljosha Judmayer z Univerzity ve Vídni označil tuto akci za „nejrozsáhlejší dokumentované odhalení telefonních čísel a souvisejících dat uživatelů“.
Naštěstí vědci postupovali odpovědně – data bezpečně smazali a nahlásili zranitelnost společnosti Meta. WhatsApp následně implementoval opatření pro omezení počtu dotazů, aby zamezil hromadnému zneužití této funkce. Mluvčí Meta uvedl: „Jsme vděční výzkumníkům z Univerzity ve Vídni za zodpovědné partnerství a práci v rámci našeho Bug Bounty programu. Tato spolupráce odhalila novou metodu, která překročila naše limity a umožnila získat základní veřejně dostupné informace. Všechna data byla bezpečně smazána a nezjistili jsme žádné známky zneužití. Uživatelské zprávy zůstaly díky end-to-end šifrování WhatsAppu bezpečné.“
