В Meta знали об уязвимости, но ничего не делали.
Исследователи из Венского университета собрали данные о 3,5 млрд пользователей WhatsApp, пользуясь уязвимостью в веб-версии сервиса: она позволяла проверять наличие аккаунтов по номеру телефона и видеть имя и фото профиля при открытых настройках приватности, пишет Wired. При этом ограничений по частоте запросов к серверу (рейт-лимитов) в сервисе предусмотрено не было, что позволяло проверять до 100 млн номеров в час, передает theins.ru
В итоге ученые собрали номера пользователей даже из тех регионов, где WhatsApp был заблокирован. У 57% пользователей были видны фото профиля, у 29% — статусы. Последнее было связано с настройками приватности у самих пользователей.
Также исследователи выявили у части аккаунтов повторяющиеся криптографические ключи, что теоретически позволяет расшифровывать чужие переписки. Ученые связали эту проблему с использованием неофициальных клиентов мессенджера.
Компания Meta, которой принадлежит WhatsApp, уже ввела ограничение по обращению к серверу, однако телефонный номер пользователя по-прежнему остаются доступным в профиле, скрыть его нет возможности. Отмечается, что об этой уязвимости Meta известно как минимум с 2017 года (тогда компания еще называлась Facebook).