Блог25 ноември 2025 г.

WhatsApp 2025: изтеглени 3.5 млрд. профила

Stanchev Digital

2025: Изследователи използват липсата на rate limiting в WhatsApp и успяват да „проверят“ 63 млрд. номера, изтегляйки имена, снимки и статуси на всички 3.5 млрд. потребители. Най-големият неоторизиран mass-scrape в историята на комуникационните платформи — как се случи, какво изтече и защо има огромни последици. WhatsApp се оказа в центъра на най-мащабното „тихо“ изтичане на данни досега — не чрез пробив или рансъмуер, а чрез функция, която винаги е съществувала: възможността да търсиш потребители по телефонен номер. Липсата на rate limiting позволи на изследователи да проверят 63 милиарда номера и да съберат пълния списък на всички 3.5 млрд. WhatsApp потребители, включително имена, снимки на профилите и статуси („about“), достъпни по подразбиране.

Важно

Това не е класически „пробив“, а следствие от функционалност + липса на контрол върху честотата на заявките. Урокът: публичните интерфейси са атака повърхност — дори ако са „нормална функция“.

Как започна scrape-ът

WhatsApp позволява на всеки да провери дали даден телефонен номер е регистриран в платформата и да види публични елементи като име, снимка и статус.
Изследователите:

генерират списък от 63 млрд. потенциални номера;
използват неофициален open-source WhatsApp клиент;
изпращат заявки от един физически компютър и един IP адрес;
извличат данни със скорост 100 млн. проверки на час.

Липсата на ограничения (rate limiting), каквито има дори при грешни опити за логин, прави възможен scrape в индустриални мащаби.

Какво изтече и защо е критично

Събрани са публично видимите елементи на почти всички профили:

телефонни номера
имена (ако потребителят ги е въвел)
снимки на профила
статус/„about“ текст

Въпреки че това изглежда като „повърхностна“ информация, мащабът създава огромни рискове:

комбиниране с други изтичания → масов фишинг
използване на снимки + AI за лицева идентификация → откриване на телефонни номера на конкретни хора
събиране на таргет списъци (напр. държавни служители с публични служебни имейли в статусите)
наблюдение на употребата в забранени държави

Особено уязвими са потребителите в страни като Китай, където WhatsApp е забранен, но според scrape-а има милиони активни потребители. В Северна Корея — цели 5 профила.

Методът зад кулисите

Технически това е:

основна функционалност (lookup по номер)
без rate limiting
автоматизация чрез неофициален клиент
масивен brute-force на номера от всички държави

Няма експлойт в криптографията, няма SQL injection, няма заобикаляне на логин — има дизайн, който не предвижда злоупотреба на мащаб. Според изследователите най-трудната част е била не самата операция, а да убедят Meta, че това е проблем. Почти година напомняния, докато не ги уведомяват, че изследването ще бъде публикувано. Едва тогава Meta реагира, кани ги на разговор и внедрява защитни мерки.

Кой стои зад scrape-а?

В случая това не е киберпрестъпна група, а изследователи, които демонстрират проблем в архитектурата.
Но техниката е достъпна и за:

OSINT екипи
криминални групи за SIM swap
служби за сигурност
комерсиални data brokers

С dataset от снимки и номера престъпници могат лесно да търсят „човек → телефонен номер“ чрез лицево разпознаване.

Колко е голям мащабът?

Обхват: ~3.5 млрд. активни профила.
Категории данни: имена, снимки, статуси, телефонни номера.
Рискове: таргетиран фишинг, OSINT профилиране, незаконно следене, откриване на потребители в забранени държави.
Влияние върху бизнеса: PR натиск, въпроси към Meta, регулаторен интерес към rate limiting и защита от масови заявки.

Графики

WhatsApp 2025: обхват на scrape-инцидента (в млрд.)

Типове извлечени данни (в млн.)

Пет урока, които не можем да игнорираме

Функционалност ≠ безопасност. Lookup функции без ограничения са еквивалент на отворен API.
Rate limiting е фундаментален контрол. Дори най-обикновените UI функции могат да се превърнат в масов OSINT канал.
Публичното не означава „без рискове“. Комбинация на публични данни в мащаб променя цялата заплаха.
Профилните снимки са чувствителни. Особено при модерните модели за лицево разпознаване.
Комуникацията с изследователи е критична. Meta реагира едва след заплаха за публикация.

Прагматичен чеклист за CISOs

Активирайте rate limiting за всички lookup функционалности.
Мониторинг на аномално висока честота на заявки от един IP.
Ограничаване на достъпността на профилните снимки (blur / size limit).
Повече контрол над това кой какви данни вижда по подразбиране.
Политики срещу „public by default“ за полета като „about“.

Лично мнение на автора

Това изтичане е парадоксално: няма пробив, няма злонамерена инжекция, няма sophisticated exploit. Има само огромно невнимание към скалируемостта на публична функция. Големите платформи често мислят за криптография, но забравят за най-елементарното: когато нещо може да се извика 100 милиона пъти на час, някой в крайна сметка ще го направи.

Често задавани въпроси

Пробит ли е WhatsApp?

Какви данни са събрани?

Колко профила са засегнати?

Има ли рискове за потребителите?

Как реагира Meta?

Поуката? Ако интерфейсът позволява масови заявки, той задължително ще бъде автоматизиран. Всяка публична функция трябва да се разглежда като API с потенциален достъп до милиарди записи.

Източници: Разказаният материал; публична информация от изследователите; коментари в медиите за WhatsApp rate limiting и OSINT рискове.

Сподели статията:

Последни публикации

Stanchev Digital

15 ноември 2025 г.

Кибертормозът: Невидимата заплаха за децата и как да ги защитимКиберсигурност

Stanchev Digital

15 ноември 2025 г.

UX анализ 2025: Данни, метрики и стратегии за добър сайтSEO

В тази статия