​🕵️‍♂️ «Тотальная перепись» WhatsApp: как удалось идентифицировать 3,5 миллиарда пользователей

​🕵️‍♂️ «Тотальная перепись» WhatsApp: как удалось идентифицировать 3,5 миллиарда пользователей

​Группа исследователей из Венского университета и SBA Research обнаружила серьезную уязвимость в мессенджере WhatsApp, которая позволила с помощью скрепинга идентифицировать 3,5 миллиарда активных учетных записей по состоянию на начало 2025 года.

Исследователи перебрали около 63 миллиардов всевозможных номеров и собрали метаданные практически всей глобальной пользовательской базы, что стало крупнейшим сливом информации в истории мессенджера.

​🚀 Скорость и метод сбора

​Эффективность сбора данных была достигнута благодаря обратно спроектированному API через библиотеку whatsmeow и разработанный генератор номеров libphonegen.

​Производительность.

Исследователи достигли скорости сканирования свыше 100 миллионов номеров в час всего с одного IP-адреса и пяти аккаунтов. Атака проводилась со скоростью 35 000 запросов в секунду без блокировки.

​Провал защиты.

Механизмы защиты/блокировки со стороны Meta* никак не отреагировали на несанкционированный сбор данных. Отсутствие ограничений (rate limiting) и IP blocking позволило собрать метаданные всей глобальной базы.

​📊 Тотальная перепись и метаданные

​Собранный массив данных содержит критическую информацию, которая позволяет профилировать пользователей в мировом масштабе.

​Критические данные.

Собраны публичные ключи шифрования X25519, сведения о привязанных устройствах-компаньонах и временные метки обновлений данных.

​Глобальный охват.

Идентифицировано 59 миллионов активных номеров в Иране и даже активные пользователи в Северной Корее, несмотря на государственные блокировки.

​ОС пользователей.

Анализ ID ключей позволил точно определить операционную систему: 81% пользователей используют Android, 19% — iOS.

​Цифровая открытость.

Около 57% всех пользователей имеют публичное фото профиля, а 29% раскрывают текст «Сведения».

​🇷🇺 Российский сегмент в цифрах

​В России идентифицировано 132 855 022 активных аккаунта, что составляет 3,84% от всей глобальной базы. Страна занимает 5-ю строчку в топе по числу пользователей.

​Активность.

Каждый десятый российский аккаунт (9,4%) имеет привязанное устройство-компаньон (WhatsApp Web или Desktop), что является одним из самых высоких показателей в мире.

​Приватность.

Российский сегмент демонстрирует высокую открытость: более 61,7% пользователей из РФ имеют общедоступное фото профиля, а 33,5% оставляют открытым текстовое поле «Сведения».

​⏳ Реакция Meta и устранение

​Реакция Meta на сообщение об уязвимости была крайне медленной, что ставит вопросы о приоритетах компании в отношении безопасности.

​Игнорирование.

Meta проигнорировала первый тикет об уязвимости, а один из последующих запросов закрыла как «неприменимый».

​Устранение.

Реальное исправление (внедрение лимитов на запросы) началось только спустя год после первого обращения. Уязвимость была устранена к началу октября 2025 года.

​💡​ Все это чрезвычайно яркий пример того, как базовая техническая недоработка (отсутствие rate limiting) в инфраструктуре крупного игрока может привести к катастрофическим последствиям.

Открытые метаданные и публичные ключи создают идеальную базу для таргетированных атак, фишинга или шпионажа против конкретных целей в любом регионе.

Ситуация также поднимает серьезные вопросы о цифровой гигиене самих пользователей, а медленная реакция Meta на проблему подчеркивает недостаточную ответственность платформы перед своей 3,5-миллиардной аудиторией.

​•—–—•—–—•—–—•—–—•—–—•

*Meta (соцсети Facebook, Instagram) признана экстремистской и запрещена на территории Российской Федерации.