Forskare kartlade 3,5 miljarder WhatsApp-profiler – känsliga uppgifter låg öppet

Så kunde alla nummer listas

Forskare vid Wiens universitet och forskningsinstitutet SBA Research säger att de hittat ett sätt att räkna upp i princip alla WhatsApp-nummer som existerar. Genom att kringgå Metas spärrar mot massinsamling kunde de samla in telefonnummer och de profiluppgifter som användarna själva valt att göra synliga i appen, det skriver PC Welt. 

Det handlade alltså inte om chattinnehåll eller andra privata uppgifter som WhatsApp inte redan visar offentligt. Men skalan gör upptäckten anmärkningsvärd: forskarna uppger att de kunde se och analysera omkring 3,5 miljarder profiler.

Vad som låg öppet – och varför det är känsligt

Enligt forskarna innehöll runt 30 procent av profilerna mer detaljerad information. Där kunde det till exempel stå sexuell orientering, politiska preferenser och andra personliga intressen, enligt sajten PC Welt. I vissa fall fanns även uppgifter om drogbruk eller länkar till kontaktannonser och tjänster som dejting- och betalplattformar.

Många profiler hade dessutom tydliga profilbilder och angivna e-postadresser, inklusive adresser kopplade till statliga och militära organisationer. Sammantaget innebar det att materialet kunde användas för att bygga profiler med telefonnummer, foto, intressen och kontaktvägar – direkt från WhatsApps publika fält.

Läs också: Nvidia passerade 4 000 miljarder dollar

Forskarna lyfter också en särskild risk i auktoritära stater där WhatsApp är förbjudet eller övervakat. Om myndigheter kan koppla ett nummer till ett land och en identitet kan det, i värsta fall, få allvarliga konsekvenser för användaren, enligt sajten. 

Meta fick varning – reagerade sent

Forskargruppen uppger att Meta informerades redan i september 2024 om metoden. Enligt rapporten dröjde det innan bolaget agerade, men Meta ska senare ha ändrat sina system så att tekniken inte längre fungerar.

Tyska Heise har tidigare sammanfattat resultaten och pekat på hur omfattande kartläggningen var, samt hur Metas skydd mot automatiserad insamling kunde överlistas.

Metas svar: “ingen indikation på missbruk”

Meta har i en kommentar tackat forskarna för att ha rapporterat problemet via företagets bug bounty-program. I sitt svar säger bolaget att en ny metod för uppräkning av konton identifierades, vilket gjorde det möjligt att skrapa grundläggande offentliga uppgifter.

Läs också: Apple vill köpa F1-rättigheterna

Meta uppger vidare att bolaget nu infört starkare anti-scraping-skydd, att forskarna raderat materialet efter studien och att man inte hittat tecken på att illasinnade aktörer utnyttjat metoden. Bolaget betonar också att användarnas meddelanden hela tiden varit skyddade av end-to-end-kryptering, uppger sajten PC Welt. 

Det här kan du göra som användare

Även om det rör sig om uppgifter du själv frivilligt lagt in, visar studien hur publika fält kan bli sårbara när de samlas in i stor skala. Forskarna och flera säkerhetsexperter rekommenderar därför att du:

• håller profilinformationen så kort som möjligt
  
• undviker profilbilder där du lätt kan identifieras
  
• inte länkar till dejtingprofiler eller andra sidor som kan användas mot dig
  
• utgår från att allt som är offentligt i praktiken kan kopieras och sammanställas
  

Den fullständiga rapporten, “Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy”, finns enligt forskarna att läsa gratis på engelska.

Bakgrund: återkommande kritik mot WhatsApps dataskydd

WhatsApp har tidigare fått kritik för brister i skyddet mot datainsamling. En tidigare säkerhetschef ska enligt äldre uppgifter ha varnat för riskerna och drivit frågan rättsligt.

Läs också: Samsung fortsätter med galna priser

Den nya studien pekar framför allt på en sak: även “frivilliga” profiluppgifter kan bli farliga när de går att hämta i bulk – och kopplas direkt till ditt telefonnummer.

Läs också: Håll inne knappen – då avslöjar WhatsApp en dold funktion du inte visste fanns