Les fotos de perfil i la informació delicada continguda a les descripcions d’estat van estar exposades durant mesos.

Investigadors de la Universitat de Viena i del centre de ciberseguretat SBA Research han descobert una vulnerabilitat d’enumeració a WhatsApp que va permetre confirmar i recopilar dades associades a 3.500 milions de números de telèfon registrats a l’aplicació de missatgeria instantània.

La decisió, explotada entre el desembre del 2024 i l’abril del 2025, permetia validar de forma massiva quins números estaven donats d’alta al servei i accedir a informació pública de cada perfil.

Els experts van obtenir fotos de perfil (57 % dels usuaris), textos d’estat “About” (29 %), com també metadades sensibles, com ara el sistema operatiu del dispositiu, l’antiguitat del compte o quants dispositius secundaris estaven vinculats. Els textos a About podien incloure informació que anava des de creences religioses fins a enllaços a perfils en altres plataformes. 

A més, els investigadors van aconseguir recopilar claus criptogràfiques públiques, fins i tot van trobar casos de reutilització de claus entre usuaris, una cosa inusual i preocupant des del punt de vista de la seguretat.

Gabriel Gegenhuber, a càrrec de la investigació, ha comentat que el mètode es basava a automatitzar consultes a través de WhatsApp Web sense topar-se amb els límits reals. 

Així, van generar números vàlids de fins a 245 països mitjançant la llibreria libphonenumber de Google i comprovant quins tenien un compte actiu a l’aplicació de missatgeria. La decisió hauria afectat gairebé la totalitat de la base d’usuaris del servei. 

Meta ja ha pres mesures

Meta ha reconegut el problema. Nitin Gupta, vicepresident d’enginyeria a WhatsApp, ha agraït als experts la seva troballa. «Van identificar una tècnica d’enumeració que va superar els límits esperats. Vam verificar que les dades recopilades van ser eliminades de manera segura i no hi ha evidència d’ús maliciós d’aquest vector», ha afirmat. 

La comunicació responsable es va fer a l’abril i la companyia de Mark Zuckerberg va aplicar mitigacions els mesos següents. 

Aquest forat de seguretat fa palès que fins i tot plataformes amb xifratge d’extrem a extrem poden tenir punts febles que exposen dades delicades quan no es blinden els sistemes de descobriment i verificació d’usuaris.