WhatsApp долгое время рекламировал себя как удобный и безопасный способ общения с кем угодно, где угодно, если у вас есть номер телефона собеседника. Это маленькое звено: вводите номер, и приложение сразу же сообщает, есть ли у этого человека аккаунт. Такая простота способствовала росту платформы, и сегодня WhatsApp насчитывает около 3,5 миллиардов пользователей по всему миру. Однако эта же простота создала огромную брешь в безопасности: практически любой мог без труда определить, кто из людей использует WhatsApp.
Исследователи из Австрии недавно продемонстрировали, насколько велика эта брешь. Вместо того чтобы использовать какой-то сложный хак, они автоматизировали то же действие, которое мы все выполняем, когда добавляем новый контакт: они подали WhatsApp миллиарды номеров телефонов и наблюдали, какие из них сервис распознает как аккаунты. Для этих номеров WhatsApp охотно показывал дополнительные данные. По их данным, исследователи могли ассоциировать номера телефонов с фотографиями профилей у 57% пользователей и считывать текст «о себе» у 29%. То есть они не крали номера — они использовали сам сервис в качестве справочника.
Технически это называется «перечисление». Вы не взламываете систему, а задаете ей бесконечную серию вопросов с ответами «да» или «нет». WhatsApp Web, браузерная версия приложения, сделала этот процесс особенно удобным для масштабирования. Без жестких ограничений скорости исследователи могли проверять около 100 миллионов номеров в час. Если растянуть это на несколько недель, то можно получить полную картину того, кто использует WhatsApp в разных странах и регионах, с именами, фотографиями и статусами, где они оставлены публичными.
Критики отмечают, что в небольшом масштабе такое поведение — не новость. Вы всегда можете отправить сообщение на случайный номер и посмотреть, доставится ли оно, как и отправить письмо на вымышленный адрес или написать в случайный почтовый ящик. Но это сравнение упускает ключевую особенность — объем и автоматизацию. Сделать это один раз, чтобы выяснить, кто звонит, — одно дело, но делать это миллиарды раз с помощью скрипта — совсем другое. На таком уровне контактный поиск превращается в мощную машину для сбора данных, которая может кормить спам-кампании, социальную инженерию, фишинг и слежку.
Что еще больше раздражает защитников конфиденциальности, так это временная шкала. Meta, материнская компания WhatsApp, была предупреждена о данной проблеме еще в 2017 году другим исследователем. Риск был очевиден: если не ограничить массовый поиск контактов, то любой, кто обладает нужными инструментами, может тайно собрать полный каталог всех пользователей сервиса. Однако в течение нескольких лет ситуация не менялась. За это время любой злонамеренный актор — от мошенников и брокеров данных до государственных агентов — мог бы провести подобную операцию без явных следов.
Только после того как австрийская команда сообщила о своей работе в апреле, Meta внедрила более жесткие ограничения скорости, которые начали действовать в октябре и сделали массовую загрузку номеров гораздо сложнее. Это улучшение действительно поднимет барьер для тех, кто захочет повторить опыт с 3,5 миллиардами аккаунтов, но такие исправления не могут вернуть время назад. Если ваш номер давно зарегистрирован в WhatsApp, то вам остается только надеяться, что его не собирали в прошлом и не продали в подземный рынок баз данных телефонов.
Meta утверждает, что вся эта информация является «основными публичными данными», и что фотографии профилей и текст «о себе» не были доступны для пользователей, которые установили для них настройки конфиденциальности. С точки зрения компании это может быть верно, но такой подход слишком узко ориентирован на платформу. Для среднего пользователя регистрация номера телефона в мессенджере больше напоминает передачу его в закрытый клуб, а не публикацию на рекламном щите. Внутренние процессы поиска контактов, скрапинга и ограничения скорости остаются невидимыми. Поэтому, когда люди начинают получать всплеск спам-звонков и мошеннических сообщений сразу после регистрации в WhatsApp, не удивительно, что они начинают подозревать в этом саму платформу, даже если данные были использованы третьими сторонами, а не утекли в классическом взломе.
Многие пользователи сообщают, что замечают именно такую закономерность: до того как они начали активно пользоваться WhatsApp, их номер был практически неизвестен, а после нескольких месяцев на платформе он оказывается повсеместно. Это не доказывает, что WhatsApp — единственный источник этих списков, но структура приложения делает его крайне привлекательным инструментом для их построения и обогащения. Когда злоумышленники могут подтвердить, что конкретный номер активен и привязан к реальному человеку — часто с фотографией и статусом — они могут сверить его с утекшими базами данных, записями о регистрации SIM-карт или профилями в социальных сетях, чтобы создать более целенаправленные атаки.
Тем временем пользователи, которые не довольны подходом Meta к конфиденциальности, оказываются в знакомой ловушке. Многие предпочли бы использовать альтернативы, такие как Telegram или Signal, которые часто хвалят за более прозрачные настройки конфиденциальности или открытый код. Однако некоторые скептически относятся к этим сервисам, указывая на то, кто управляет их инфраструктурой или где расположены серверы. А даже если вы доверяете другому приложению больше, сеть контактов разрушительна: ваша семейная группа, ваша спортивная команда и коллеги по работе — все на WhatsApp, и отказаться от него — значит отключиться от повседневной жизни.
Все это подчеркивает неприятную истину: проблема с конфиденциальностью WhatsApp — это не драматический случай взлома, а предсказуемое следствие того, как была устроена система. Номер телефона используется как публичный ключ вашей личности, а приложение было построено так, чтобы на вопрос «Есть ли этот номер на WhatsApp?» отвечать на глобальном уровне. Позднее введение ограничений скорости — это лишь временная мера, прикрывающая более глубокую проблему: компромисс между ростом и конфиденциальностью. Ужесточите настройки конфиденциальности, переместите важные разговоры на другую платформу или просто оставайтесь более скептичными к тому, что значит «бесплатно и безопасно» — урок ясен: любой сервис, использующий ваш номер телефона в качестве глобального адреса, может рано или поздно превратиться в карту того, кто вы и как с вами связаться.