Более двух миллиардов человек по всему миру пользуются WhatsApp как чем-то средним между записной книжкой и личной почтой, доверяя мессенджеру семейные чаты, рабочие обсуждения и очень личные разговоры. Но свежие результаты исследования австрийских специалистов показывают, насколько хрупким может быть это доверие. Команда из Вены продемонстрировала, что на протяжении многих лет любой достаточно настойчивый человек мог автоматически проверять практически любой номер телефона на планете и узнавать, привязан ли он к аккаунту WhatsApp. В итоге исследователи сопоставили 3,5 миллиарда номеров с реальными учетными записями и фактически построили гигантскую «телефонную книгу» WhatsApp.
То, что делает историю особенно тревожной, — это простота атаки. В обычной жизни вы добавляете номер в контакты или вводите его в поиске WhatsApp, и приложение честно подсказывает: этот номер есть в мессенджере или нет. Функция максимально удобна: так проще понять, кому можно написать сразу в чат, а кому придется звонить по старинке. Но всё меняется, если к этой проверке подключить скрипты и серверные мощности. Как выяснили австрийские исследователи, у WhatsApp долгое время практически не было адекватных ограничений на количество таких запросов — так называемого rate limiting. Это открыло дверь для массового перебора номеров.
Изучая реализацию сквозного шифрования в WhatsApp, команда университета Вены обратила внимание на вспомогательные механизмы, которые окружают зашифрованные сообщения, в том числе на процесс поиска контактов. Там и оказалось слабое звено: сервер исправно отвечал на сотни тысяч запросов подряд, не замечая, что с ним общается не живой пользователь, а автоматизированная система. Эксперимент показал, что всего за полчаса можно проверить около 30 миллионов телефонных номеров в США и выяснить, какие из них зарегистрированы в WhatsApp. Масштабировав эту схему на разные страны и диапазоны, ученые собрали базу из 3,5 миллиарда аккаунтов по всему миру.
При этом речь шла не только о сухом «да» или «нет». Настройки конфиденциальности большинства людей по умолчанию довольно открыты, и исследование это наглядно подтвердило. Оказалось, что примерно у 57% найденных учетных записей фотография профиля была видна всем, а не только сохраненным контактам. Это означало, что скрипт мог не только отметить номер как активный, но и скачать изображение профиля для последующего анализа. Еще около 29% пользователей оставили статус или подпись под именем открытой для всех, а значит, к номеру и фото добавлялся короткий текст — иногда шутка, иногда должность и место работы, иногда ссылка на другие социальные сети.
В руках ученых все эти данные стали доказательством серьезной архитектурной проблемы. Но важно понимать: ровно та же уязвимость могла быть использована куда менее добросовестными игроками. Набор из миллионов подтвержденных WhatsApp-номеров, дополненных фотографиями и статусами, — это идеальное сырье для таргетированных фишинговых атак, спама и преследования. Злоумышленники могли бы отсортировать базу по странам, коду оператора, языку и даже по приблизительному возрасту или полу, который нетрудно угадать по аватарке, а затем рассылать крайне правдоподобные сообщения: «коллега» из вашей сферы, «служба доставки» из вашего региона или «банк», говорящий на вашем языке.
Особенно раздражает то, как долго проблема оставалась без внимания. По данным австрийской команды, о недостаточном rate limiting в механизме проверки номера Meta, владелец WhatsApp, впервые узнала еще в 2017 году — от другой группы исследователей. Но за прошедшие годы логика работы сервиса почти не изменилась. Всё это время любой более-менее опытный программист с доступом к облачному серверу мог тихо и незаметно перебирать номера, строя собственную «базу WhatsApp» и никто бы этого даже не заметил.
Лишь в этом году история получила продолжение. В апреле венские специалисты официально отправили Meta подробный отчет: как именно работает уязвимость, какими темпами можно собирать номера и какую угрозу это создает для приватности обычных пользователей. Исследователи отдельно подчеркнули: да, содержимое сообщений защищено сквозным шифрованием, но вокруг этих сообщений существует целая экосистема метаданных — от информации об учетной записи до механизма поиска контактов. Если эти детали заложены неаккуратно, никакое шифрование не спасет от утечек.
После нескольких лет фактического игнорирования Meta все-таки внесла изменения. В октябре компания включила более строгие ограничения на частоту запросов в механизме обнаружения контактов WhatsApp. В теории это должно резко усложнить жизнь тем, кто пытается массово перебирать номера и строить большие базы. Сами исследователи заверяют, что уничтожили собранный массив данных и не будут делиться им с третьими лицами. Но главный вопрос остается открытым: кто еще успел воспользоваться тем же подходом за предыдущие годы — и какие объемы информации уже гуляют по теневому рынку.
На этом фоне особенно выгодно смотрятся конкурирующие мессенджеры, которые изначально строились вокруг идеи приватности. Тот же Signal давно использует более жесткий rate limiting и дополнительные механизмы защиты при поиске контактов. Даже имея на руках список номеров, вы не сможете безнаказанно штурмовать его серверы миллионами запросов. Плюс к этому Signal собирает о пользователях минимум метаданных и предлагает расширенные настройки конфиденциальности: от ретрансляции звонков через свои серверы, скрывающей ваш IP-адрес, до защиты экрана, которая мешает делать скриншоты переписки.
История с WhatsApp не выглядит случайным недоразумением на фоне других продуктов Meta. В 2021 году в сети появилась база с данными примерно 530 миллионов пользователей Facebook. И там сценарий был похожим: злоумышленники использовали официальный механизм поиска профилей по номеру телефона, чтобы по крупицам вытащить личную информацию — имя, город, иногда место работы и другие детали. Удобная функция, созданная для поиска друзей, превратилась в конвейер по сбору персональных данных.
Что это означает для тех, кто продолжает ежедневно жить в WhatsApp? Прямой риск того, что кто-то прямо сейчас повторит эксперимент австрийцев в прежних масштабах, стал меньше — новые лимиты заметно осложняют массовый перебор. Но сам факт этой истории — хороший повод заглянуть в настройки приватности. Имеет смысл закрыть аватарку и статус от посторонних глаз, оставив доступ только контактам или вообще никому. Стоит также внимательнее относиться к неожиданным сообщениям: если собеседник слишком хорошо знает ваше имя, город или сферу работы, это не всегда признак реального знакомства — иногда это всего лишь результат грамотного анализа открытых данных.
Остается и более общий вопрос доверия. Для многих людей WhatsApp по-прежнему остается самым удобным вариантом просто потому, что там сидят все — родственники, коллеги, школьные чаты, соседские группы. Другие все чаще выбирают стратегию разделенного риска: оставляют WhatsApp для бытовых и формальных разговоров, а личные и чувствительные темы переносят в более закрытые мессенджеры вроде Signal. В любом случае эта история наглядно показывает: одного только красивого ярлыка end-to-end encrypted на экране недостаточно. Важно, насколько аккуратно компания относится к остальным данным вокруг ваших переписок — и насколько быстро закрывает очевидные дыры, когда о них ей напоминают.