Velik propust u WhatsAppu, procurili brojevi 3,5 milijardi korisnika

epa09442519 (FILE) - The logo of mobile application WhatsApp (C) displayed on a smartphone screen in Taipei, Taiwan, 26 September 2017 (reissued 02 September 2021). The Irish Data Protection Commissioner (DPC) in a statement on 02 September 2021 announced it had 'imposed a fine of 225 million euro on WhatsApp' Ireland over the messenger application's handling data sharing with its parent company Facebook. EPA/RITCHIE B. TONGO *** Local Caption *** 55842512/Ritchie B. Tongo
ilustracija
Piše: A.Bu
24.11.2025. (20:22)

Istraživači sa Sveučilišta u Beču pokazali su kako je moguće sustavno ispitivati milijarde potencijalnih brojeva i potvrđivati aktivne račune brzinom većom od 100 milijuna brojeva na sat i to bez ikakvih ograničenja.

Nastavak vijesti ispod promo sadržaja

Sustav napravljen za lakše otkrivanje kontakata putem telefonskih brojeva otvorio je vrata kriminalcima koji iz korisničkih statusa i kontaktnih kartica mogu izvući puno više nego što bi mnogi željeli

 

 

 

 

Nastavak vijesti ispod promo sadržaja

Kritičan sigurnosni propust u WhatsAppu, timu je istraživača omogućio da razotkriju telefonske brojeve 3,5 milijarde korisnika, što predstavlja jedan od najvećih dokumentiranih curenja podataka dosad. Slabost proizlazi iz funkcije otkrivanja kontakata, a Meta je na nju upozoravana još od 2017., piše Tportal.

Istraživači sa Sveučilišta u Beču pokazali su kako je moguće sustavno ispitivati milijarde potencijalnih brojeva i potvrđivati aktivne račune brzinom većom od 100 milijuna brojeva na sat i to bez ikakvih ograničenja. Njihova studija provedena između prosinca 2024. i travnja 2025. koristila je alat libphonegen za generiranje realistično strukturiranih brojeva u 245 država. Putem modificiranog otvorenog XMPP klijenta došli su i do javno dostupnih podataka profila, vremena aktivnosti te kriptografskih ključeva, uključujući identity i prekey, za 56,7 posto računa.

WhatsAppov sustav za otkrivanje kontakata dizajniran je radi praktičnosti, ali nedostatak učinkovitog ograničavanja upita omogućio je automatizirano prikupljanje podataka velikih razmjera. Pet autentificiranih računa na jednom sveučilišnom serveru bilo je dovoljno da u manje od šest mjeseci obradi 63 milijarde potencijalnih brojeva i identificira 3,5 milijarde aktivnih.

Izloženi podaci i sigurnosni rizici

Za 29,3 posto korisnika javni 'About' sadržaji otkrili su osjetljive informacije, uključujući politička stajališta, vjerska uvjerenja i poveznice na druge profile. Posebnu zabrinutost izazvala je pojava 2,9 milijuna slučajeva ponovne upotrebe kriptografskih ključeva ključeva. U jednom ekstremnom primjeru dvadeset američkih brojeva dijelilo je ključ sastavljen od nula, što upućuje na pogrešne implementacije ili potencijalne prijevare. Takav nedostatak jedinstvenosti ključeva mogao bi otvoriti mogućnost narušavanja enkripcije na oba kraja putem neautoriziranih klijenata.

Nastavak vijesti ispod promo sadržaja

Najgora stvar oko ove priče je što je problem godinama bio poznat, a Meta oko njega sve dosad nije napravila apsolutno ništa. Eksponirani podaci dijelom se preklapaju s prethodnim curenjima, poput onog na Facebooku iz 2021., gdje je gotovo polovica tada objavljenih brojeva i dalje bila aktivna na WhatsAppu, što povećava izloženost različitim oblicima zlouporabe, uključujući prevare, ciljane napadačke kampanje.

Dodatni rizik postoji za korisnike u zemljama gdje je WhatsApp zabranjen, uključujući Kinu, Iran i Sjevernu Koreju, zbog mogućnosti državnog nadzora.

Tehnologija
#Whatsapp
×