מידע אישי של 3.5 מיליארד משתמשי וואטסאפ נחשף דרך חולשה פשוטה

באמצעות חולשה במנגנון החיפוש באפליקציה, הצליחו חוקרים לאסוף מידע מזהה כולל שמות, תמונות ופרטים רגישים של מיליארדי חשבונות

{ אבטחה וסייבר }

ניב גילינסקי

20.11.25

תמונה: Pexels

האם היינו עדים השבוע ל"דליפת המידע הגדולה בהיסטוריה"? כנראה שכן, אך לא בטוח שיש סיבה להיכנס ללחץ כל כך מהר. חוקרים מאוסטריה שבחנו את אפליקציית המסרים וואטסאפ, הצליחו לנצל חולשה שאפשרה להם לאסוף מידע אישי של יותר מ-3.5 מיליארד משתמשים, אך אין צורך להיכנס לפאניקה.

הפיצ'ר שמאפשר לחפש משתמשים באמצעות הזנת מספר טלפון קיים באפליקציה כבר שנים. עם זאת, רק לאחרונה התגלה שניתן לנצל אותו לרעה כדי לחשוף מידע נוסף מלבד המספר – כלומר, שם המשתמש ולעיתים גם תמונת הפרופיל שלו (אם קיימת). החוקרים השתמשו בפיצ'ר בשילוב עם כלי שפיתחו בעצמם, המבוסס על טכנולוגיית libphonenumber של גוגל, והצליחו לאסוף פרטי משתמשים בקצב של למעלה מ-100 מיליון חשבונות בשעה. הם עשו זאת על ידי הזנת 63 מיליארד מספרי טלפון שנוצרו על ידי הכלי שלהם.

בדרך כלל, פלטפורמות מסתמכות על הגבלת קצב (Rate Limiting) כדי למנוע שימוש לרעה בכלים מהסוג בו השתמשו החוקרים, אך החולשה שהתגלתה ב-Whatsapp אפשרה להם לשגר שאילתות בהיקף נרחב מבלי להיחסם או להיות מוגבלים.

כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime

במסמך שפרסמו החוקרים, הם הסבירו כי "כתובת ה-IP והחשבונות שלנו לא נחסמו על ידי וואטסאפ. בנוסף, לא נתקלנו בהגבלות קצב כלשהן. בקצב של 7,000 מספרים לשנייה (לכל סשן), הצלחנו לאמת את קיומם של 3.5 מיליארד מספרים הרשומים ב-WhatsApp – הרבה מעבר ל'יותר מ-2 מיליארד' כפי שטוענת החברה".

מהנתונים שאספו החוקרים ושנמחקו על ידם לאחר תום המחקר, למעלה מ-57% מהחשבונות הפעילים שהתגלו כללו תמונת פרופיל. מתוכם, שני שליש הציגו פנים אנושיות שניתנות לזיהוי. לטענת החוקרים, ייתכן ואפשר לבנות באמצעות נתונים אלה "ספר טלפונים הפוך", שבו תמונה של אדם יכולה להוביל לגילוי מידע נוסף עליו. בנוסף, כ-29% מהמשתמשים כללו טקסט בפרופיל, מה שמספק עוד פרטים שיכולים לעזור לבנות פרופיל אישי מדויק יותר.

אז למה זה כל כך קריטי? למרות שמידע כמו מספר טלפון, שם משתמש ותמונה נתפסים כגלויים לכל ממילא באפליקציה, הטקסט שמתגלה בחלק מהפרופילים יכול לחשוף מידע ממש רגיש. זה כולל נטייה מינית, דעות פוליטיות, שימוש בסמים ואפילו קישורים לפלטפורמות אחרות כגון לינקדאין וטינדר, ולעיתים גם כתובות מייל מהעבודה. בהקשר זה חשוב לציין כי החוקרים הצליחו לקשר מספרים רשומים גם לפקידי ממשל ולקצינים בכירים בצבאות מסוימים.

בנוסף, חשוב לזכור שוואטסאפ אינה חוקית במספר מדינות ברחבי הגלובוס, כגון סין וצפון קוריאה. למרות זאת, החוקרים מצאו מיליוני חשבונות פעילים הקשורים למספרי טלפון מהמדינות הללו, מה שעלול להוביל לסכנה בידיים לא נכונות עבור אותם משתמשים. בסין, למשל, שימוש לא חוקי באפליקציה יכול להוביל למעצר.זווית נוספת שצריך לתת עליה את הדעת היא הזווית של התוקפים: מה גורמים פליליים יכולים לעשות עם המידע הזה? מבחינת החוקרים התשובה ברורה – הם יכולים לבנות רשימות של אלפי מספרי טלפון למתקפות ספאם ופישינג

על פי דיווח ב-The Register, מטא (החברה האם שמחזיקה בבעלות על וואטסאפ) לא התייחסה ישירות לקיום או לאפקטיביות של אמצעי אבטחה נוספים לאחר שהחוקרים דיווחו על הממצאים שלהם. עם זאת, היא מסרה כי היא כבר עובדת על מערכות מתקדמות נגד כריית מידע. בנוסף, דובר החברה אישר כי לא נמצאו עדויות לשימוש לרעה מצד תוקפים. מי שכן הגיב הוא סמנכ"ל ההנדסה של Whatsapp שהדגיש כי "ההודעות האישיות מוצפנות מקצה לקצה ולא נחשפו".