Уязвимость в API WhatsApp позволила исследователям получить доступ к 3,5 миллиардам аккаунтов

Главная страница » Уязвимость в API WhatsApp позволила исследователям получить доступ к 3,5 миллиардам аккаунтов

22.11.2025

Время чтения: 4 мин.

Исследователи составили список из 3,5 миллиардов номеров мобильных телефонов WhatsApp и связанной с ними личной информации, злоупотребив API для поиска контактов, в котором не было ограничения скорости.

Команда сообщила о проблеме в WhatsApp, и с тех пор компания добавила защиту от превышения скорости, чтобы предотвратить подобные злоупотребления.

Хотя это исследование было проведено учёными, которые не опубликовали полученные данные, оно иллюстрирует распространённую тактику, используемую злоумышленниками для сбора информации о пользователях из общедоступных и незащищённых API.

Злоупотребление API WhatsApp

Исследователи из Венского университета и SBA Research использовали функцию поиска контактов в WhatsApp, которая позволяет отправить номер телефона на конечную точку GetDeviceList API платформы, чтобы определить, связан ли номер телефона с аккаунтом и какие устройства использовались.

Без строгого ограничения скорости такие API можно использовать для масштабного перечисления пользователей на платформе.

Исследователи обнаружили, что это относится и к WhatsApp, поскольку они смогли отправить большое количество запросов непосредственно на серверы WhatsApp, проверяя более 100 миллионов номеров в час.

Они проводили всю операцию с одного университетского сервера, используя всего пять аутентифицированных сеансов, и поначалу ожидали, что WhatsApp их поймает. Однако платформа не заблокировала аккаунты, не ограничила трафик, не заблокировала IP-адрес и не связалась с ними, несмотря на все неправомерные действия с одного устройства.

Читать Серьезно, разве мы не можем создавать лучшие пароли?

Затем исследователи сгенерировали глобальный набор из 63 миллиардов потенциальных мобильных номеров и проверили их все с помощью API. В результате их запросов было найдено 3,5 миллиарда активных учётных записей WhatsApp.

Результаты исследования также позволили получить ранее неизвестную информацию о том, как WhatsApp используется по всему миру, и показали, где эта платформа наиболее популярна:

Индия: 749 миллионов
Индонезия: 235 миллионов
Бразилия: 206 миллионов
США: 138 миллионов
Россия: 133 миллиона
Мексика: 128 миллионов

Миллионы активных аккаунтов были также обнаружены в странах, где WhatsApp в то время был запрещён, в том числе в Китае, Иране, Северной Корее и Мьянме. В Иране, где запрет был снят в декабре 2024 года, использование приложения продолжало расти.

Помимо проверки того, использовался ли номер телефона в WhatsApp, исследователи использовали другие конечные точки API для получения дополнительной информации о пользователях, в том числе о GetUserInfo, GetPrekeys, и FetchPicture.

Используя эти дополнительные API, исследователи смогли собрать фотографии из профиля, текст «о себе» и информацию о других устройствах, связанных с номером телефона в WhatsApp.

В ходе проверки номеров в США было загружено 77 миллионов фотографий из профилей без каких-либо ограничений по скорости, и на многих из них были видны лица. Если был доступен общедоступный текст «о себе», он также содержал личные данные и ссылки на другие аккаунты в социальных сетях.

Читать Лучшие способы защитить ваш Linux-сервер от атак и взломов

Наконец, когда исследователи сравнили свои данные с результатами сбора телефонных номеров в Facebook за 2021 год, они обнаружили, что 58 % номеров, утекших из Facebook, всё ещё были активны в WhatsApp в 2025 году. Исследователи объясняют, что крупномасштабные утечки телефонных номеров наносят такой серьёзный ущерб, потому что они могут годами использоваться для других вредоносных действий.

«Мы проанализировали 3,5 миллиарда записей (то есть активных учётных записей) в наборе данных, который, насколько нам известно, можно было бы назвать крупнейшей утечкой данных в истории, если бы он не был собран в рамках ответственного исследовательского проекта», — говорится в статье «Привет! Вы пользуетесь WhatsApp: подсчёт трёх миллиардов учётных записей для обеспечения безопасности и конфиденциальности».

«Набор данных содержит номера телефонов, временные метки, информацию о тексте, изображения профиля и открытые ключи для шифрования E2EE. Публикация этих данных может негативно сказаться на пользователях».

Другие случаи злоупотребления API

Отсутствие ограничений скорости для API в WhatsApp свидетельствует о распространённой проблеме на онлайн-платформах, где API предназначены для упрощения обмена информацией и выполнения задач, но при этом становятся векторами для масштабного парсинга.

В 2021 году злоумышленники воспользовались ошибкой в функции «Добавить в друзья» на Facebook, которая позволяла загружать списки контактов с телефона и проверять, есть ли эти контакты на платформе. Однако этот API также не ограничивал количество запросов, что позволило злоумышленникам создать профили для 533 миллионов пользователей, указав их номера телефонов, идентификаторы Facebook, имена и пол.

Читать Что такое атака на повреждение веб-сайта и как ее предотвратить?

Компания Meta позже подтвердила, что данные были получены в результате автоматического парсинга API, в котором отсутствовали надлежащие средства защиты. Ирландская комиссия по защите данных (DPC) оштрафовала Meta на 265 миллионов евро за утечку.

Twitter столкнулся с аналогичной проблемой, когда злоумышленники воспользовались уязвимостью API, чтобы сопоставить номера телефонов и адреса электронной почты с 54 миллионами аккаунтов.

Компания Dell сообщила, что 49 миллионов записей о клиентах были украдены после того, как злоумышленники злоупотребили незащищённой конечной точкой API.

Все эти инциденты, в том числе в WhatsApp, произошли из-за API, которые выполняют поиск учётных записей или данных без надлежащих ограничений скорости, что делает их лёгкой мишенью для масштабной перебора.

Просмотров поста: 1

Редактор: AndreyEx

Рейтинг: 5 (1 голос)