Μεγάλης κλίμακας κενό απορρήτου στην πλατφόρμα WhatsApp εντόπισαν ερευνητές του τομέα ασφάλειας στην πληροφορική από το Πανεπιστήμιο της Βιέννης και τo κέντρο ερευνών SBA Research, με αποτέλεσμα να αποκτήσουν πρόσβαση σε 3,5 δισεκατομμύρια λογαριασμούς. Σε συνεργασία με τους ερευνητές, η ΜΕΤΑ έχει έκτοτε λάβει μέτρα περιορισμού του προβλήματος.
Σύμφωνα με το πανεπιστήμιο, το πρόβλημα εντοπίστηκε στον μηχανισμό ανακάλυψης επαφών και η μελέτη «υπογραμμίζει τη σημασία της συνεχούς, ανεξάρτητης έρευνας ασφαλείας σε ευρέως χρησιμοποιούμενες πλατφόρμες επικοινωνίας και επισημαίνει τους κινδύνους που σχετίζονται με την συγκέντρωση των υπηρεσιών άμεσων μηνυμάτων». Τα αποτελέσματα της έρευνας θα παρουσιαστούν επισήμως στο Συμπόσιο Ασφάλειας Δικτύου και Κατανεμημένων Συστημάτων (NDSS) το 2026.
Ο μηχανισμός ανακάλυψης επαφών του WhatsApp μπορεί να χρησιμοποιήσει το βιβλίο διευθύνσεων ενός χρήστη προκειμένου να βρει άλλους χρήστες του WhatsApp με βάση τον αριθμό τηλεφώνου τους.
Χρησιμοποιώντας τον ίδιο υποκείμενο μηχανισμό, οι ερευνητές απέδειξαν ότι ήταν δυνατό να αναζητηθούν περισσότεροι από 100 εκατομμύρια αριθμοί τηλεφώνου ανά ώρα μέσω της υποδομής του WhatsApp, επιβεβαιώνοντας περισσότερους από 3,5 δισεκατομμύρια ενεργούς λογαριασμούς σε 245 χώρες.
«Κανονικά, ένα σύστημα δεν θα έπρεπε να ανταποκρίνεται σε τόσο μεγάλο αριθμό αιτημάτων σε τόσο σύντομο χρονικό διάστημα – ειδικά όταν προέρχονται από μία μόνο πηγή», εξηγεί ο επικεφαλής της έρευνας Γκάμπριελ Γκεγκενχούμπερ από το Πανεπιστήμιο της Βιέννης. «Αυτή η συμπεριφορά αποκάλυψε το υποκείμενο ελάττωμα, το οποίο μας επέτρεψε να εκδώσουμε ουσιαστικά απεριόριστα αιτήματα στον διακομιστή και με αυτόν τον τρόπο να αντιστοιχίσουμε δεδομένα χρηστών παγκοσμίως», προσθέτει.
Από την πλευρά της ΜΕΤΑ, ο επικεφαλής των μηχανικών του WhatsApp Νίτιν Γκούπτα εξέφρασε την ευγνωμοσύνη της εταιρίας στους ερευνητές του Πανεπιστημίου της Βιέννης, επισημαίνοντας ότι η πλατφόρμα εργαζόταν ήδη κατά της συλλογής δεδομένων. Διαβεβαίωσε επίσης ότι οι ερευνητές έχουν διαγράψει με ασφάλεια τα δεδομένα που συλλέχθηκαν στο πλαίσιο της έρευνας και ότι τα μηνύματα των χρηστών παρέμειναν ιδιωτικά και ασφαλή χάρη στην κρυπτογράφηση της πλατφόρμας
