Kritičan sigurnosni propust u WhatsAppu timu je istraživaču omogućio da razotkrije telefonske brojeve 3,5 milijardi korisnika, što predstavlja jedan od najvećih dokumentiranih curenja podataka dosad. Slabost proizlazi iz funkcije otkrivanja kontakata, a Meta je na nju upozoravana još od 2017. godine.
Istraživači sa Sveučilišta u Beču pokazali su da je moguće sustavno ispitivati milijarde potencijalnih brojeva i potvrđivati aktivne račune brzinom većom od 100 milijuna brojeva na sat, i to bez ikakvih ograničenja. Njihova studija, provedena između prosinca 2024. i travnja 2025. godine, koristila je alat libphonegen za generiranje realistično strukturiranih brojeva u 245 država. Putem modificiranog otvorenog XMPP klijenta došli su i do javno dostupnih podataka s profila, vremena aktivnosti te kriptografskih ključeva, uključujući identity i prekey, za 56,7 posto računa.
WhatsAppov sustav za otkrivanje kontakata dizajniran je radi praktičnosti, ali nedostatak učinkovitog ograničavanja upita omogućio je automatizirano prikupljanje podataka velikih razmjera. Pet autentificiranih računa na jednom sveučilišnom serveru bilo je tako dovoljno da u manje od šest mjeseci obradi 63 milijarde potencijalnih brojeva i identificira 3,5 milijardi aktivnih. (tportal)