Масштабный случай утечки данных произошел в WhatsApp, где исследователи смогли собрать информацию о 3,5 миллиарда телефонных номеров. Эта уязвимость связана с недостаточной защитой API системы поиска контактов, что позволило злоумышленникам массово собирать телефонные номера пользователей по всему миру. В отличие от предыдущих инцидентов с Facebook, Twitter и Dell, данное событие показывает серьезные риски слабых мер безопасности в популярных мессенджерах.
—
## Детали события / Суть инцидента
В ходе исследования, проведенного учеными из Венского университета и SBA Research, было обнаружено, что API WhatsApp, используемый для проверки наличия номера в системе и привязанных устройств, не имел адекватных ограничений по скорости запросов. Это позволило за короткое время отправлять миллионы запросов и получать информацию о миллиардах номеров. В результате, за час было проверено более 100 миллионов номеров, а затем при обработке базы данных из 63 миллиардов номеров было подтверждено существование 3,5 миллиарда активных аккаунтов WhatsApp.
Исследователи использовали лишь пять авторизованных сессий и один сервер университета, что демонстрирует уязвимость без необходимости больших ресурсов. Они также получили доступ к дополнительным данным профилей, включая фотографии, статусы, информацию об устройствах и публичные ключи. В частности, в США было скачано 77 миллионов фотографий профилей, многие из которых содержали идентифицирующие лица. Это подчеркивает, насколько уязвимы личные данные пользователей в случае массового сбора информации.
—
## Хронология / Основные пункты
— 2025 год: исследование проведено учеными из Вены и SBA Research.
— Начало инцидента: использование API GetDeviceList без ограничений.
— Методы атаки: массовые запросы с помощью пяти активных сессий.
— Результат: проверка более 100 миллионов номеров в час, подтверждение 3,5 миллиарда активных аккаунтов.
— Дополнительные данные: профили, фото, «о себе», публичные ключи.
— Влияние: утечка данных может использоваться для фишинга, мошенничества и кражи идентичности.
— Реакция WhatsApp: добавление механизмов ограничения скоростных запросов.
| Этап | Описание |
|———|—————|
| Исследование | Проверка уязвимости API WhatsApp |
| Обнаружение | Отсутствие лимитов на частоту запросов |
| Масштаб | Проверка более 100 миллионов номеров в час |
| Итоги | Подтверждение 3,5 млрд активных аккаунтов и сбор данных профилей |
—
### Позиции сторон / Цитаты / Реакция
WhatsApp заявил, что после обнаружения уязвимости компания внедрила меры по ограничению скорости запросов, чтобы предотвратить подобные случаи в будущем. Представитель компании отметил: «Безопасность наших пользователей — наш главный приоритет, и мы активно работаем над устранением любых уязвимостей». В то же время, исследователи подчеркнули, что текущие меры недостаточны и требуют более строгих ограничений API, чтобы исключить возможность массового сбора данных.
Несмотря на то, что исследование было проведено без раскрытия собранных данных и с целью выявления уязвимости, оно показывает, насколько легко можно получить доступ к личной информации при слабой защите API. В прошлом, аналогичные инциденты с Facebook, Twitter и Dell показали, что отсутствие должных мер безопасности ведет к масштабным утечкам.
—
#### Контекст / Последствия
Этот случай подчеркивает необходимость усиления защиты API у крупных платформ, поскольку слабые ограничения позволяют злоумышленникам собирать миллиарды данных. Уязвимости в API создают риски для конфиденциальности пользователей, способствуют мошенничеству и кибератакам. В будущем, без внедрения более жестких мер защиты, подобные утечки могут стать масштабнее, что повлечет за собой рост угроз безопасности личных данных. Компании должны пересмотреть свои политики по API, чтобы снизить риск массовых сборов данных и защитить пользователей от потенциальных злоупотреблений.
Дарья Тимошенко
Автор. Технологический обозреватель. Пишет о цифровых трендах, инновациях и гаджетах. Разбирает сложное просто, следит за будущим уже сегодня. Все посты