V skratke:
- Rakúski vedci úspešne extrahovali telefónne čísla a verejne dostupné údaje všetkých 3,5 miliardy používateľov platformy WhatsApp.
- Chyba v rozhraní WhatsApp Web umožnila skriptom overovať až 100 miliónov čísel za hodinu bez akéhokoľvek obmedzenia.
- Spoločnosť Meta zaviedla obmedzenia až v októbri 2025 a tvrdí, že neexistujú dôkazy o zneužití dát hackermi.
WhatsApp, najpopulárnejšia četovacia aplikácia sveta, čelila vážnemu bezpečnostnému riziku, ktoré vyplývalo priamo z jej najväčšej výhody – jednoduchosti hľadania kontaktov. Rakúskym výskumníkom sa podarilo zozbierať databázu kontaktov prakticky všetkých používateľov. Meta o zraniteľnosti vedela roky, no opravu nasadila až v októbri tohto roka po nahlásení incidentu.
Popularita aplikácie WhatsApp pramení z toho, aké ľahké je nájsť ostatných používateľov – stačí poznať ich telefónne číslo. Bohužiaľ, táto funkcia sa ukázala ako dvojsečná zbraň. Až do nedávnej doby bolo telefónne číslo každého používateľa WhatsAppu ľahko získateľné pre kohokoľvek, vrátane potenciálnych hackerských skupín.
Túto skutočnosť odhalili rakúski výskumníci, ktorým sa podarilo extrahovať telefónne čísla pre všetkých 3,5 miliardy používateľov. Rozsah úniku však nekončí len pri číslach. U približne 57 % používateľov sa výskumníkom podarilo získať aj ich profilové fotografie a u ďalších 29 % aj textové informácie z profilu (tzv. „O mne“).
Žiadna mágia, len hrubá sila a WhatsApp Web
Ak by ste čakali, že za týmto únikom stojí sofistikovaný hackerský útok alebo prelomenie šifrovania, boli by ste na omyle. Metóda bola triviálna, no vykonaná v masívnom meradle.
Výskumníci jednoducho „skúšali“ pridávať miliardy čísel – presne tak, ako by ste to urobili vy, keď si ukladáte nový kontakt. Zadali číslo a čakali, či im WhatsApp oznámi, že daná osoba má účet, pričom im rovno zobrazil aj jej profilovú fotku a text. Kľúčom k úspechu bol WhatsApp Web, internetové rozhranie služby.
Vďaka chýbajúcim limitom na počet dopytov (rate-limiting) dokázali skontrolovať približne 100 miliónov telefónnych čísel za hodinu.
Varovania boli roky ignorované
Najznepokojujúcejším faktom na celom incidente je reakčný čas spoločnosti Meta. Materská firma WhatsAppu bola na tento konkrétny problém upozornená iným výskumníkom už v roku 2017. Napriek tomu spoločnosť vtedy nepodnikla žiadne kroky na nápravu.
Rakúsky tím na problém opätovne upozornil v apríli tohto roka (2025). Trvalo ďalších šesť mesiacov, kým spoločnosť v októbri implementovala tzv. rate-limiting, teda obmedzenie rýchlosti a počtu dopytov, ktoré zabraňuje takémuto hromadnému zisťovaniu kontaktov. To znamená, že systém bol dlhé roky otvorený pre akéhokoľvek aktéra, ktorý chcel získať globálnu databázu aktívnych čísel.
Reakcia spoločnosti Meta
Meta sa k situácii vyjadrila s dôrazom na to, že uniknuté údaje neboli súkromné v pravom slova zmysle. Spoločnosť zdôraznila, že všetky získané dáta sú „základné verejne dostupné informácie“ a že profilové fotky či texty neboli odhalené u používateľov, ktorí si v nastaveniach súkromia zvolili, aby tieto údaje neboli verejné.
Firma tiež ubezpečuje verejnosť, že nenašla žiadne dôkazy o tom, že by tento vektor zneužívali hackeri a dodala, že výskumníci nemali prístup k žiadnym neverejným dátam. Napriek tomu tento prípad opäť otvára diskusiu o tom, ako technologickí giganti pristupujú k ochrane údajov, ktoré považujú za verejné, no v nesprávnych rukách môžu slúžiť na phishing alebo spamové kampane.
Aj nedávna masívna komunikácia podvodníkov na Slovákov mohla byť spôsobená ľahkou dostupnosťou na overenie existencie účtu v aplikácii WhatsApp.
Zdroje: Zdroj 1 | Zdroj 2 | Zdroj 3