WhatsApp долгое время был одним из самых популярных мессенджеров, и его популярность во многом объясняется простотой поиска пользователей — достаточно знать номер телефона. Однако такая открытость привела к серьезной уязвимости: до недавнего времени любой мог получить доступ к телефонным номерам всех пользователей. Австрийские исследователи воспользовались этим и собрали базу из 3,5 миллиардов номеров пользователей WhatsApp по всему миру. Кроме того, почти в 60% случаев они смогли получить доступ к фотографиям профиля, а еще в трети — к текстовой информации из учетной записи.
Для этого не понадобились сложные хакерские методы. Исследователи просто массово добавляли номера через веб-версию WhatsApp, как это делает обычный пользователь вручную. Система автоматически показывала, зарегистрирован ли номер, а также отображала фотографии и статус, если они не были скрыты настройками конфиденциальности. Благодаря этому можно было проверять до сотни миллионов номеров в час.
Еще в 2017 году WhatsApp предупреждали об этой уязвимости, но компания долго не предпринимала никаких действий. Только после объявления австрийских исследователей весной 2025 года в октябре было введено ограничение на скорость проверки номеров, чтобы затруднить массовый сбор данных.
Meta, компания-владелец WhatsApp, подчеркнула, что речь идет лишь о публичной информации, а доступ к фотографиям и статусам возможен лишь для тех пользователей, которые не ограничили видимость. Кроме того, компания заявила, что не обнаружила признаков злоупотребления этой уязвимостью, и исследователи не получили доступа к закрытым данным.