آسیب پذیری WhatsApp شماره 3.5 میلیون کاربر را افشا کرد

در یکی از بزرگ‌ترین رخدادهای نقض حریم خصوصی تاریخ، یک ضعف ساختاری در قابلیت
WhatsApp (Contact Discovery) باعث شد شماره تلفن ۳.۵ میلیارد کاربر در سراسر جهان قابل استخراج و شناسایی باشد. این آسیب‌پذیری که اولین‌بار در سال ۲۰۱۷ به Meta گزارش شده بود، پس از سال‌ها بی‌توجهی، در تحقیقاتی گسترده درآوریل ۲۰۲۵ به‌صورت عملی اثبات شد.

این رخداد چگونه اتفاق افتاد؟

WhatsApp برای راحتی کاربران قابلیتی دارد که شماره‌های موجود در دفترچه تلفن را بررسی می‌کند و مشخص می‌کند آیا فرد موردنظر عضو WhatsApp هست یا خیر

اما مشکل از جایی آغاز شد که این قابلیت تقریباً هیچ محدودیت و حفاظتی در برابر درخواست‌های مکرر و خودکار نداشت.

پژوهشگران دانشگاه Vienna با استفاده از یک روش مرحله‌به‌مرحله توانستند گسترده‌ترین استخراج داده تاریخ WhatsApp را انجام دهند:

از ابزار libphonegen برای ساخت میلیاردها شماره واقعی و معتبر در ۲۴۵ کشور استفاده کردند.
یک کلاینت XMPP متن‌باز را اصلاح کردند تا بتواند مانند نسخه رسمی WhatsApp به سرور متصل شود.
تنها با ۵ حساب کاربری داخلی، درخواست‌های مداوم برای بررسی فعال بودن شماره‌ها ارسال کردند.
هیچ Rate Limit قابل‌توجهی از سوی WhatsApp فعال نشد؛ یعنی سرور WhatsApp عملاً میلیون‌ها درخواست در دقیقه را بدون محدودیت پاسخ می‌داد.
نتیجه این فرایند، بررسی ۶۳ میلیارد شماره و شناسایی ۳.۵ میلیارد حساب واقعی بود.
علاوه بر شماره‌ها، اطلاعات پروفایل، تصویر، وضعیت (About)،آخرین فعالیت و حتی بخش‌هایی از کلیدهای رمزنگاری نیز قابل جمع‌آوری بود.

کاربران کدام کشورها بیشتر در معرض خطر بودند؟

تحلیل داده‌ها نشان داد بیشترین کاربران در معرض افشا در هند با ۷۴۹ میلیون حساب (۲۱.۶۷٪ از کل کاربران جهان) بودند، پس از آن اندونزی و برزیل قرار دارند. درصد کاربران دارای عکس پروفایل، متن About و حساب‌های تجاری نیز متفاوت است و می‌تواند سطح ریسک هر کشور را نشان دهد:

رتبه	کشور	تعداد حساب	درصد جهانی	Android %	iOS %	عکس پروفایل %	About Text %	Business %
1	هند	749,075,246	21.67%	95	5	62.2	29.5	9.8
2	اندونزی	235,245,077	6.81%	92	8	49.1	27.5	10.7
3	برزیل	206,949,224	5.99%	81	19	61.1	41.5	10.3
4	ایالات متحده	137,859,284	3.99%	33	67	44.0	32.8	2.4
5	روسیه	132,855,022	3.84%	76	24	61.7	33.5	3.6
6	مکزیک	128,324,166	3.71%	82	18	46.1	23.3	4.1
7	پاکستان	98,277,665	2.84%	95	5	58.5	20.0	21.7
8	آلمان	74,565,425	2.16%	58	42	51.0	35.4	2.2
9	ترکیه	72,131,903	2.09%	73	27	48.0	33.4	3.0
10	مصر	69,317,806	2.01%	90	10	53.2	25.1	11.3

*باقی کشورهای جهان حدود ۴۴.۹٪ از کاربران را تشکیل می‌دهند که با درصدهای متغیر پروفایل عمومی و About در معرض افشا هستند. این اعداد نشان می‌دهد که خطر سوءاستفاده جهانی و مقیاس‌پذیر است.

چرا این مسئله خطرناک است؟

ساخت پروفایل دقیق از کاربران در مقیاس میلیاردی
افزایش شدید حملات فیشینگ، Smishing و SIM Swapping
امکان سوءاستفاده در کشورهایی که WhatsApp مسدود است
خطرات جدی برای کسب‌وکارهایی که از WhatsApp Business استفاده می‌کنند
ایجاد Shadow Profile و حملات هدفمند علیه افراد و سازمان‌ها

سازمان‌ها باید چه کنند؟

این حادثه نشان داد که حتی اگر پیام‌رسان‌ها رمزگذاری سرتاسری داشته باشند، اطلاعات متادیتا و داده‌های عمومی همچنان قابل سوءاستفاده هستند.

بنابراین وابستگی به امنیت پیام‌رسان‌ها به‌تنهایی کافی نیست.

ابزارهای EDR مانند محصولات ESET Inspect می‌توانند:

رفتارهای مشکوک ناشی از کلاینت‌های جعلی، بدافزارها یا تماس‌های غیرمعمول با APIهای پیام‌رسان را شناسایی کنند,
از اجرای بدافزارهایی که از طریق WhatsApp یا نسخه‌های غیررسمی آن منتقل می‌شوند جلوگیری کنند
کنترل کامل روی تغییرات مشکوک در سیستم را فراهم کنند.

راهکارهای DLP مثل Safetica می‌توانند:

از خروج فایل‌های حساس از طریق WhatsApp Web جلوگیری کنند
دسترسی به مسیرهای انتقال داده را کنترل کنند
مانع نشت تصادفی یا عمدی اطلاعات توسط کارکنان شوند
بارگذاری و ارسال داده‌ها در پیام‌رسان‌ها را تحت نظارت بگیرند

این حادثه نشان داد که کنترل امنیت سمت کاربر و سمت سازمان بسیار مهم‌تر از اعتماد کامل به پلتفرم‌های پیام‌رسان است.

جمع‌بندی

نشت ۳.۵ میلیارد شماره تلفن صرفاً یک رخداد امنیتی نیست؛ بلکه هشدار جدی درباره ضعف ساختاری پیام‌رسان‌ها و لزوم لایه‌های حفاظتی سازمانی است.

سازمان‌ها با ترکیب EDR و DLP می‌توانند از داده‌ها، کاربران و مشتریان خود در برابر حملات روزافزون محافظت کنند و ریسک افشا اطلاعات را به حداقل برسانند.