"Тотальная перепись населения WhatsApp" или сбор данных 3,5 миллиардов пользователей

Группа исследователей из Венского университета и SBA Research в своём исследовании описывают грандиозную своего рода уязвимость в мессенджере, которая помогла идентифицировать 3,5 миллиарда активных учетных записей по состоянию на начало 2025 года с помощью скрепинга. Исследователи перебрали около 63 миллиардов всевозможных номеров и обнаружили "живыми" 3,5 миллиарда аккаунтов.

https://github.com/sbaresearch/whatsapp-census/blob/main/Hey_there_You_are_using_WhatsApp.pdf

Используя обратно спроектированный API через библиотеку whatsmeow и разработанный генератор libphonegen (на базе libphonenumber), исследователи смогли достичь скорости сканирования свыше 100 миллионов номеров в час всего с одного IP-адреса и пяти аккаунтов. Атака проводилась со скоростью 7 000 запросов в секунду на каждую сессию (суммарно 35 000), позволяя сканировать более 100 миллионов номеров в час без бана.

Примечательно, что механизмы защиты/блокировки со стороны Meta* никак не отреагировали и не смогли воспрепятствовать этому процессу.

Отсутствие ограничений (rate limiting + IP blocking) на серверах Meta* позволило ресёрчерам собрать метаданные практически всей глобальной пользовательской базы мессенджера, включая временные метки обновлений данных и криптографические ключи.

Собранный массив данных содержит критическую информацию о пользователях из 245 стран, включая публичные ключи шифрования X25519 и сведения о привязанных так называемых устройствах-компаньонах.

Идентифицировано 2,3 миллиона активных номеров в Китае, 59 миллионов в Иране и активные пользователи в Северной Корее, несмотря на государственные блокировки.

Анализ ID ключей (Signed Prekey ID и One-Time Prekey ID) позволил точно определить операционную систему пользователей: 81% используют Android, 19% используют iOS.

Около 57% всех пользователей имеют публичное фото профиля, а 29% раскрывают текст «Сведения».

Социальный граф и технические артефакты оказались открыты для любого опытного инженера-исследователя, позволяя потенциальному злоумышленнику профилировать цели.

??А что есть о ????России в исследовании?

В России идентифицировано 132 855 022 активных аккаунта, что составляет 3,84% от всей глобальной базы пользователей WhatsApp. Россия занимает 5 строчку в топе стран по числу пользователей, находясь между США (4 место) и Мексикой (6 место). Показатель свидетельствует о феноменальной популярности мессенджера. Российский сегмент отличается аномально высокой активностью использования десктопных версий приложения по сравнению с другими регионами.

Анализ технических метрик показывает, что 76% российских пользователей предпочитают платформу Android, в то время как доля iOS составляет 24%. Каждый десятый российский аккаунт (9,4%) имеет привязанное устройство-компаньон (WhatsApp Web или Desktop), что является одним из самых высоких показателей в мире.

С точки зрения цифровой гигиены российский сегмент демонстрирует парадоксальную открытость на фоне глобальных трендов приватности. Более 61,7% пользователей из РФ имеют общедоступное фото профиля, а 33,5% оставляют открытым текстовое поле «Сведения».

--------------------------

Meta проигнорировала первый тикет об уязвимости, а один из последующих запросов закрыла как «неприменимый», начав реальное исправление (внедрение лимитов на запросы) только спустя год после первого обращения.

Уязвимость была устранена к началу октября 2025 года.

Принятие статьи на симпозиум NDSS 2026 (Network and Distributed System Security Symposium), входящий в «большую четверку» топовых конференций в области компьютерной безопасности, служит гарантом качества рецензирования, поэтому исследование можно считать надёжным.

*Meta (соцсети Facebook, Instagram) запрещена в РФ как ?экстремистская.

@Russian_OSINT