Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Ранливост во WhatsApp API им овозможи на истражувачи да извлечат 3,5 милијарди сметки

Објавено: 24.11.2025

Истражувачи составија листа од 3,5 милијарди мобилни телефонски броеви на WhatsApp и поврзани лични информации преку злоупотреба на API за откривање контакти, кој немал ограничување на бројот на барања (rate limiting).

Тимот го пријавил проблемот до WhatsApp, по што компанијата вовела заштита со ограничување на барањата за да спречи слични злоупотреби.

Иако ова истражување било спроведено од истражувачи кои не ги објавиле податоците, случајот илустрира вообичаена тактика што ја користат заканувачки актери за извлекување кориснички информации од јавно изложени и незаштитени API-интерфејси.

Злоупотреба на WhatsApp API

Истражувачите од Универзитетот во Виена и SBA Research ја користеле функцијата за откривање контакти на WhatsApp, која овозможува внесување телефонски број во API-то GetDeviceList за да се утврди дали бројот е поврзан со сметка и кои уреди се користеле.

Без строго ограничување на барањата, ваквите API-интерфејси можат да се злоупотребат за масовно пребарување низ целата платформа.

Истражувачите утврдиле дека тоа е случај со WhatsApp, бидејќи успеале да испраќаат огромен број барања директно до серверите на WhatsApp, проверувајќи повеќе од 100 милиони броеви на час.

Целата операција ја извршиле од еден универзитетски сервер користејќи само пет автентицирани сесии, очекувајќи дека ќе бидат откриени. Сепак, платформата никогаш не ги блокирала сметките, не го ограничила сообраќајот, не ја ограничила IP-адресата и никогаш не стапила во контакт, и покрај очигледната злоупотреба од еден уред.

Потоа, истражувачите генерирале глобален сет од 63 милијарди можни мобилни броеви и ги тестирале преку API-то. Повратните резултати покажале 3,5 милијарди активни WhatsApp сметки.

Резултатите овозможиле и досега непознат увид во глобалната употреба на WhatsApp, прикажувајќи каде платформата е најмногу користена:

  • Индија: 749 милиони
  • Индонезија: 235 милиони
  • Бразил: 206 милиони
  • Соединети Американски Држави: 138 милиони
  • Русија: 133 милиони
  • Мексико: 128 милиони

Милиони активни сметки биле идентификувани и во земји каде WhatsApp бил забранет во тој период, вклучувајќи ги Кина, Иран, Северна Кореја и Мјанмар. Во Иран, користењето продолжило да расте откако забраната била укината во декември 2024 година.

Покрај проверката дали бројот се користи на WhatsApp, истражувачите користеле и други API крајни точки за да извлечат дополнителни информации за корисниците, вклучувајќи ги GetUserInfo, GetPrekeys и FetchPicture.

Со користење на овие дополнителни API-и, тие успеале да соберат профилни фотографии, „about“ текст и информации за други уреди поврзани со одреден WhatsApp број.

Тест со американски броеви довел до симнување на 77 милиони профилни фотографии без никакви ограничувања, при што многу од нив прикажувале препознатливи лица. Доколку бил достапен јавен „about“ текст, тој откривал и лични детали и линкови до други социјални профили.

Конечно, кога ги споредиле резултатите со истекувањето на телефонски броеви од Facebook во 2021 година, откриле дека 58% од протечените броеви сè уште биле активни на WhatsApp во 2025 година. Истражувачите објаснуваат дека масовните истекувања на телефонски броеви се исклучително штетни бидејќи можат да се користат за други злонамерни активности со години.

„Со 3,5 милијарди записи (т.е. активни сметки), анализираме база на податоци која, според нашето знаење, би можела да се класифицира како најголемо истекување на податоци во историјата, доколку не беше собрана како дел од одговорно спроведено истражување“, се наведува во трудот „Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy“.

„Базата содржи телефонски броеви, времиња на активност, about текст, профилни фотографии и јавни клучеви за E2EE енкрипција, а нејзиното објавување би имало сериозни негативни последици за вклучените корисници.“

Други злонамерни случаи на злоупотреба на API

Недостатокот на rate limiting кај WhatsApp е пример за поширок проблем на онлајн платформите, каде API-ите се дизајнирани за лесно споделување информации и извршување задачи, но истовремено стануваат вектори за масовно извлекување податоци.

Во 2021 година, заканувачки актери искористиле баг во функцијата „Add Friend“ на Facebook што им овозможувал да прикачат листи со контакти и да проверат дали тие се присутни на платформата. API-то исто така немало соодветно ограничување на барања, што им дозволило да креираат профили за 533 милиони корисници кои содржеле телефонски броеви, Facebook ID, имиња и пол.

Meta подоцна потврди дека податоците биле прибрани преку автоматизирано скрејпинг напаѓање на API без соодветна заштита, по што Ирската комисија за заштита на податоци (DPC) ја казни Meta со 265 милиони евра.

Twitter се соочил со сличен проблем кога напаѓачи искористиле API ранливост за да поврзат телефонски броеви и е-пошти со 54 милиони сметки.

Dell објави дека 49 милиони кориснички записи биле извлечени откако напаѓачи злоупотребиле незаштитена API крајна точка.

Сите овие инциденти, вклучувајќи го и оној со WhatsApp, се предизвикани од API-интерфејси кои овозможуваат пребарување на сметки или податоци без соодветни ограничувања на барањата, што ги прави лесни мети за масовна автоматизирана злоупотреба.

Извори:

  • Bleeping Computer – WhatsApp API flaw let researchers scrape 3.5 billion accounts Bleeping Computer