Hur upptäcktes läckan i WhatsApp?

Ett team av österrikiska säkerhetsforskare automatiserade WhatsApp Web:s kontaktupptäckt och observerade tjänstens svar när de försökte lägga till nummer. Genom att skala processen kunde de snabbt avgöra om ett telefonnummer fanns registrerat och i många fall även hämta offentlig profilinformation.

Vilka uppgifter kunde exponeras och hur många konton påverkades?

Forskarnas tester visade att telefonnummer för ungefär 3,5 miljarder användare kunde upptäckas. För cirka 57% av dessa var profilbilder synliga, och för runt 29% var den offentliga "Om"-texten åtkomlig — förutsatt att användarna inte ställt dem till privata inställningar.

Har Meta åtgärdat problemet?

Meta infördes rate-limiting under oktober efter att ha blivit informerat av forskarna. Rate-limiting begränsar antalet förfrågningar och gör massenumeration svårare, men fönstret för exponering var tillräckligt långt för att potentiellt missbruk kunnat ske innan åtgärden implementerades.

Vad kan jag göra för att skydda min WhatsApp-integritet?

Granska och skärp dina sekretessinställningar (sätt profilbild och "Om" till "Mina kontakter" eller "Ingen"), aktivera tvåstegsverifiering, undvik att publicera ditt telefonnummer öppet och överväg att använda ett sekundärt nummer för publika tjänster. Håll även appar och system uppdaterade.

WhatsApp-läckage: kontaktupptäckt exponerade 3,5 miljarder

8 Minuter

En färsk upptäckt av österrikiska säkerhetsforskare avslöjar en oroande verklighet: under åratal var det trivialt enkelt att bekräfta om ett telefonnummer var registrerat på WhatsApp — och att hämta viss associerad offentlig profilinformation. Sårbarheten påverkade ungefär 3,5 miljarder konton och visar hur en bekvämlighetsfunktion kan utvecklas till en integritetsrisk i storskalig skala.

Inget hack — bara appens kontaktupptäckt

WhatsApps spridning bygger på en enkel mekanik: du kopplar ihop dig med människor via telefonnummer. Samma mekanism gjorde det möjligt för forskarna att lista konton i massor. Istället för att utnyttja en klassisk mjukvarusårbarhet använde teamet WhatsApp Web på samma sätt som en vanlig användare — genom att upprepade gånger försöka lägga till nummer och observera tjänstens svar.

Genom att automatisera den processen i stor skala kunde forskarna kontrollera miljontals poster per timme. I början av året rapporterade de en topphastighet på cirka 100 miljoner kontrollerade telefonnummer per timme. Resultatet: telefonnummer för ungefär 3,5 miljarder WhatsApp-användare var möjliga att upptäcka genom kontaktupptäckt. För cirka 57% av dessa konton kunde angripare också se profilbilder; för ungefär 29% var den offentliga profilsnutten ("Om"-raden) åtkomlig.

Tekniken bakom denna typ av massenumeration bygger inte på att avkoda krypterad trafik eller knäcka autentiseringsprotokoll, utan på en simpel observation av tjänstens beteende. När ett nummer finns i WhatsApp:s katalog returnerar systemet olika svar än när numret saknas. När sådana skillnader kan skönjas automatiskt blir det möjligt att slå upp stora mängder nummer snabbt — ett klassiskt fall av side-channel-läckage i applikationsbeteende.

Konsekvenserna för datainsamling, riktad reklam, social ingenjörskonst och bedrägerier är tydliga: tillgång till en verifierad lista över vilka nummer som existerar på en populär plattform sänker tröskeln för systematisk missbruk. Dessutom kan kombinationen av telefonnummer, profilbilder och korta offentliga presentationstexter underlätta kopplingar mellan identiteter över plattformar, vilket ökar risken för doxxing och riktad phishing.

Varför detta förblev olöst så länge

Meta — WhatsApps moderbolag — hade varnat om kontaktupptäcktsbrister tidigare. Redan 2017 rapporterade en forskare oro kring hur kontaktupptäckt kunde missbrukas, men meningsfulla server-sidesskydd implementerades inte i flera år. Det österrikiska teamet informerade Meta privat i april. I oktober infördes rate-limiting för att göra massenumeration betydligt svårare. Trots åtgärden var fönstret för exponering tillräckligt långt för att många illasinnade aktörer kunnat utnyttja mekanismen.

Att en varning från 2017 inte ledde till snabb förändring illustrerar vanliga organisatoriska och tekniska utmaningar: konkurrerande prioriteringar, svårigheter att förutse hur en funktion kan skalas till missbruk, samt kostnader och komplexitet i att lägga in hygieniska skyddsåtgärder på serversidan utan att påverka användbarheten för miljontals användare. Företag inom tekniksektorn måste ofta väga användarupplevelse mot säkerhet och integritet — men just den här incidenten visar att bristande skydd kan innebära systematiska risker över tid.

Det är värt att notera att rate-limiting (hastighetsbegränsning) är en standardåtgärd mot mass-scraping: genom att begränsa antalet förfrågningar per konto eller per IP-adress per tidsenhet blir storvolymupplockning kostnadskrävande och långsam. Men även rate-limiting behöver utformas noggrant för att undvika att legitima användares funktionalitet påverkas, och för att motverka tekniker som distribuerad scraping via stora botnätverk.

Vad Meta säger

Meta betonade att de exponerade uppgifterna utgör "grundläggande offentligt tillgänglig information" och att profilbilder samt "Om"-text inte var åtkomliga för användare som satt dessa inställningar till privata. Företaget uppgav också att man "inte fann några bevis för att illasinnade aktörer utnyttjat denna vektor" och att forskarna inte kom åt någon icke-offentlig data.

Det är viktigt att skilja på två saker: dels den tekniska förklaringen till hur informationen blev tillgänglig, och dels bevisen för faktisk missbrukshistorik. Meta rapporterar ingen känd missbrukshändelse i samband med upptäckten, men från ett riskhanteringsperspektiv betyder det inte att risken inte fanns eller inte hade utnyttjats av aktörer som inte lämnat spår som lätt kunde upptäckas.

Också relevant är att vad som räknas som "offentligt" i praktiken kan variera beroende på användarinställningar och lokala dataskyddsregler. Ett telefonnummer är i många sammanhang en personlig identifierare, och samkörning av publika profilbilder och metadata kan skapa nya, mer känsliga datamängder med högre integritetsrisk.

Vad detta innebär för användare — och praktiska steg för att skydda dig

Även om inget omfattande missbruk har bevisats är händelsen en påminnelse om att funktioner som utformats för bekvämlighet kan läcka känslig information i stor skala. Här är rimliga och praktiska åtgärder användare bör vidta omedelbart för att stärka sin integritet och konto-säkerhet:

Gå igenom WhatsApps sekretessinställningar: sätt Profilbild och Om till "Mina kontakter" eller "Ingen" om du vill begränsa vem som kan se dem. Att välja den striktare inställningen minskar risken för att okända aktörer kopplar din profil till ett telefonnummer.
Aktivera tvåstegsverifiering (tvåfaktorsautentisering) på ditt WhatsApp-konto för att lägga till en PIN som extra skydd. Detta förhindrar enkla hijackningsförsök där angripare försöker ta över konton via SIM-swapping eller kontoåterställning.
Var försiktig med att publicera ditt telefonnummer offentligt eller i sociala nätverk — telefonnumret är ofta den nyckelidentifierare angripare behöver för att rikta in sig på dig. Använd helst privata meddelandekanaler för att dela kontaktuppgifter.
Överväg att använda ett sekundärt nummer för tjänster där du är bekväm med att vara synlig eller vara upptäckbar — på så sätt separerar du privat kommunikation från mer publika kontakter.
Håll appar, operativsystem och enheter uppdaterade så att du får de senaste säkerhetspatcharna och plattformsförbättringarna. Många förbättringar på serversidan kräver även moderna klienter för full effekt.

Kontaktupptäckt är en kärnfunktion i meddelandetjänster, och att helt stänga av den skulle göra produkten oanvändbar för många. Rate-limiting-åtgärder gör mass-scraping av telefonnummer mycket svårare, men incidenten understryker behovet av att företag balanserar användbarhet med robusta, proaktiva skydd. För användare är konservativa sekretessinställningar och god kontoshygien de bästa försvaren på kort sikt.

Utöver personliga åtgärder finns flera organisatoriska och tekniska steg som plattformsleverantörer kan vidta för att stärka motståndskraften mot liknande angrepp i framtiden. Exempelvis:

Implementera adaptiv rate-limiting som tar hänsyn till användarbeteende, geografi och mönsterigenkänning för att upptäcka och blockera automatiserade sökningar utan att påverka legitima användare.
Använda federerade eller förtätade releaser för contact discovery som minskar möjligheten att testa enskilda nummer i bulk via ett enda gränssnitt.
Använda oidentifierade hashing- eller privatset-tekniker (t.ex. privat mängdmatchning eller krypterade protokoll) för att utföra kontaktupptäckt utan att exponera verifierbara signaler som skiljer på "finns" respektive "finns inte" för utomstående observatörer.
Genomföra regelbundna oberoende säkerhetsgranskningar och skapa korta kanalvägar för forskare att rapportera sårbarheter — och snabba processer för att åtgärda problem server-side.

Tekniskt kunnande kring integritetsbevarande beräkningsmetoder (Privacy-Preserving Computation) och användning av moderna matchningsprotokoll kan erbjuda en väg framåt för stora meddelandeplattformar som vill behålla bekvämligheten i kontaktupptäckt utan att exponera stora mängder persondata. För slutanvändare betyder det att frågan om integritet inte bara är en inställning att kryssa i — det är också en fråga om vilka tekniska val leverantören gör.

Slutligen bör användare vara medvetna om bredare konsekvenser: när telefonnummer och profilmetadata kan koppas i stor skala blir det enklare för illasinnade aktörer att genomföra riktade bedrägerier, skapa falska kontakter eller bygga detaljerade sociala grafer som kan användas för kommersiella eller brottsliga ändamål. Att kombinera tekniska skydd, användarutbildning och tydliga rapporteringsmekanismer är därför avgörande för att minska risken framöver.

Sammanfattningsvis: incidenten är en påminnelse om att även välkända plattformar kan ha designval som med tiden leder till oavsiktliga exponeringar. Genom att uppdatera sekretessinställningar, använda tvåstegsverifiering och vara restriktiv med delning av telefonnummer kan användare skydda sig mot många av de praktiska riskerna. Plattformarna å sin sida måste fortsätta att investera i server-side-skydd, adaptiva försvar och integritetsbevarande tekniker för att förhindra framtida mass-skaliga läckor av personlig data.

Källa: gsmarena

Emilia Berg

"Jag bevakar de senaste tekniknyheterna – från nya produkter till digitala trender. Mitt mål är att hjälpa läsarna förstå vad som händer just nu och varför det spelar roll."

Lämna en kommentar

Kommentarer

Erik

6 månader sedan

verkar rimligt men är det verkligen sant att Meta inte sett några missbruk? låter lite för bra, undrar vad som gömts bakom "offentligt"...

Svara

datapulsen

6 månader sedan

Wow.. helt galet att det gick så länge utan fix. Känns creepy att nån kunnat skanna miljarder nummer. Ska genast ändra inställningarna, phew

Svara

WhatsApp-läckage: kontaktupptäckt exponerade 3,5 miljarder

Inget hack — bara appens kontaktupptäckt

Varför detta förblev olöst så länge

Vad Meta säger

Vad detta innebär för användare — och praktiska steg för att skydda dig

Lämna en kommentar

Kommentarer

Erik

datapulsen

Relaterade inlägg

Storskalig vätgasmotor levererar el direkt till nätet

Flygsimulator i Google Earth: Utforska världen från webben

Samsung: Micro RGB och AI på globala stadsskyltar nu

HMD återvänder med C2/C2P: AMOLED, 6000mAh och Android

Honor X80 Pro Max med 11 000 mAh batteri och räckvidd

Honor X70 Pro Max: stor skärm, enorm batteritid och prisvärd

Minneskostnader styr priset på smartphones 2026 på marknaden

Oppo Find X10 Pro: två 200MP-kameror och 8000 mAh batteri

Samsung testar 60 mikron UTG för mindre veck i skärmen

Apple skjuter upp vikbar iPhone till tidigt 2027: orsaker

Apple förbättrar aluminium för att stoppa färgförändring

Nvidia höjer priset på RTX Pro 6000 Blackwell kraftigt