، پژوهشگران فناوری اطلاعات دانشگاه وین به‌ همراه مؤسسه تحقیقات SBA اتریش، در گزارشی علمی از کشف یکی از بزرگ‌ترین شکاف‌های حریم خصوصی واتس‌اپ خبر دادند. این آسیب‌پذیری در بخش مکانیسم شناسایی مخاطبین (Contact Discovery Mechanism) شناسایی شده و به مهاجمان بالقوه اجازه می‌داد در هر ساعت بیش از ۱۰۰ میلیون شماره موبایل را جستجو و صحت حساب ۳.۵ میلیارد کاربر را در ۲۴۵ کشور تأیید کنند.

به گفته گابریل گگنهوبر، پژوهشگر ارشد پروژه، این سیستم برخلاف الزامات امنیت شبکه، قادر بود در مدت کوتاهی به حجم بسیار بالایی از درخواست‌ها پاسخ دهد. وی تصریح کرد: «چنین رفتار سیستمی نشانه وجود ضعف کنترل نرخ درخواست‌هاست که امکان ارسال درخواست‌های نامحدود به سرور را فراهم می‌کرد و این خود مقدمه‌ای برای دسترسی به داده‌های عمومی کاربران در مقیاس جهانی بود.»

پژوهشگران تأکید کردند داده‌های مورد استفاده شامل اطلاعات محدودی نظیر شماره تلفن، کلید عمومی رمزگذاری، و نشانه‌های کاربرشناسی بودند که برای هر کسی که شماره موبایل فردی را دارد، قابل مشاهده‌اند. با این حال، از همین داده‌ها توانستند ویژگی‌هایی چون نوع سیستم‌عامل کاربر، سن حساب و تعداد دستگاه‌های متصل به یک حساب را استنتاج کنند؛ امری که می‌تواند در سطح کلان به تحلیل‌های رفتاری و آسیب به حریم خصوصی منجر شود.

مطالعه انجام‌شده هیچ ارتباطی با محتوای پیام‌ها نداشته و رمزگذاری سراسری (End-to-End Encryption) همچنان برقرار بوده است. داده‌های جمع‌آوری‌شده نیز پیش از انتشار نتایج پژوهش، به‌طور کامل حذف شدند.

شرکت متا به نقل از منبع علمی فیز (Phys)، ضمن قدردانی از هماهنگی محققان، اعلام کرد نقص مذکور از طریق بهینه‌سازی سطح دسترسی به زیرساخت و محدودسازی نرخ درخواست‌ها برطرف شده است.

کارشناسان امنیتی معتقدند این رخداد هشداری جدی درباره خطرات تمرکز بیش از حد داده‌ها در پیام‌رسان‌های انحصاری است. آنان تأکید دارند که حتی در صورت رمزگذاری کامل محتوا، فراداده‌ها (metadata) می‌توانند ساختاری از روابط، زمان‌بندی ارتباطات و نوع دستگاه‌ها را بازسازی کنند؛ مسأله‌ای که باید در نسل بعدی معماری‌های ارتباطی مورد بازنگری اساسی قرار گیرد.