Việc áp dụng rộng rãi WhatsApp một phần xuất phát từ việc dễ dàng tìm thấy một liên hệ mới trên nền tảng nhắn tin: Thêm số điện thoại của ai đó và WhatsApp ngay lập tức hiển thị xem họ có sử dụng dịch vụ hay không, cũng như ảnh hồ sơ và tên của họ.
Hóa ra, hãy lặp lại thủ thuật đó vài tỷ lần với mọi số điện thoại có thể, và tính năng tương tự cũng có thể đóng vai trò là một cách thuận tiện để lấy số di động của hầu hết mọi người dùng WhatsApp trên trái đất—cùng với, trong nhiều trường hợp, ảnh hồ sơ và văn bản nhận dạng từng người dùng đó. Kết quả là thông tin cá nhân của một bộ phận đáng kể dân số thế giới bị lộ ra ngoài.
Một nhóm các nhà nghiên cứu người Áo hiện đã chứng minh rằng họ có thể sử dụng phương pháp đơn giản đó để kiểm tra mọi số có thể có trong khám phá liên hệ của WhatsApp để trích xuất 3,5 tỷ số điện thoại của người dùng từ dịch vụ nhắn tin. Đối với khoảng 57% những người dùng đó, họ cũng nhận thấy rằng họ có thể truy cập ảnh hồ sơ của họ và 29% khác là văn bản trên hồ sơ của họ. Bất chấp cảnh báo trước đó về việc WhatsApp để lộ dữ liệu này từ một nhà nghiên cứu khác vào năm 2017, họ cho biết, công ty mẹ của dịch vụ, Meta, vẫn không giới hạn tốc độ hoặc số lượng yêu cầu khám phá liên hệ mà các nhà nghiên cứu có thể thực hiện bằng cách tương tác với ứng dụng dựa trên trình duyệt của WhatsApp, cho phép họ kiểm tra khoảng một trăm triệu số mỗi giờ.
Kết quả sẽ là “vụ rò rỉ dữ liệu lớn nhất trong lịch sử nếu nó không được đối chiếu như một phần của nghiên cứu được tiến hành có trách nhiệm”, như các nhà nghiên cứu mô tả trong một bài báo ghi lại những phát hiện của họ.
Aljosha Judmayer, một trong những nhà nghiên cứu tại Đại học Vienna, người tham gia nghiên cứu, cho biết: “Theo hiểu biết tốt nhất của chúng tôi, điều này đánh dấu sự lộ diện rộng rãi nhất về số điện thoại và dữ liệu người dùng liên quan từng được ghi nhận”.
Các nhà nghiên cứu cho biết họ đã cảnh báo Meta về những phát hiện của họ vào tháng 4 và xóa bản sao của 3,5 tỷ số điện thoại. Đến tháng 10, công ty đã khắc phục vấn đề liệt kê bằng cách ban hành biện pháp “giới hạn tỷ lệ” chặt chẽ hơn nhằm ngăn chặn phương pháp phát hiện liên hệ trên quy mô lớn mà các nhà nghiên cứu đã sử dụng. Nhưng cho đến lúc đó, việc lộ dữ liệu cũng có thể bị khai thác bởi bất kỳ ai khác bằng cách sử dụng kỹ thuật thu thập dữ liệu tương tự, Max Günther, một nhà nghiên cứu khác từ trường đại học, người viết bài báo, cho biết thêm. Ông nói: “Nếu chúng tôi có thể lấy lại thứ này một cách siêu dễ dàng thì những người khác cũng có thể làm điều tương tự”.
Trong một tuyên bố với WIRED, Meta cảm ơn các nhà nghiên cứu, những người đã báo cáo phát hiện của họ thông qua hệ thống “tiền thưởng lỗi” của Meta và mô tả dữ liệu bị lộ là “thông tin cơ bản có sẵn công khai”, vì ảnh và văn bản hồ sơ không bị lộ đối với những người dùng chọn đặt nó ở chế độ riêng tư. Nitin Gupta, phó chủ tịch kỹ thuật của WhatsApp viết: “Chúng tôi đã và đang nghiên cứu các hệ thống chống trầy xước hàng đầu trong ngành và nghiên cứu này là công cụ để kiểm tra sức chịu đựng và xác nhận tính hiệu quả tức thời của các hệ thống phòng thủ mới này”. Gupta cho biết thêm, “Chúng tôi không tìm thấy bằng chứng nào về việc các tác nhân độc hại lạm dụng vectơ này. Xin nhắc lại, tin nhắn của người dùng vẫn ở chế độ riêng tư và an toàn nhờ mã hóa đầu cuối mặc định của WhatsApp và các nhà nghiên cứu không thể truy cập dữ liệu không công khai.”
