Shërbimi që e bën WhatsApp më të thjeshtë për t’u përdorur, gjetja e kontakteve vetëm duke shtuar një numër telefoni, ka rezultuar të jetë edhe pika e tij më e dobët. Një grup studiuesish austriakë nga Universiteti i Vjenës zbuloi se duke provuar çdo numër të mundshëm telefoni përmes funksionit të zbulimit të kontakteve në WhatsApp, mund të nxirreshin 3.5 miliardë numra përdoruesish, bashkë me fotot e profilit për rreth 57% prej tyre dhe tekstet e profilit për 29%.
Kjo dobësi është paralajmëruar që në vitin 2017, por deri së fundmi Meta nuk kishte vendosur kufizime serioze për kërkesat e shpeshta në aplikacionin web të WhatsApp, gjë që u lejoi studiuesve të verifikonin rreth 100 milionë numra në orë. Ata paralajmëruan kompaninë në prill dhe fshin të dhënat më pas; vetëm në tetor Meta vendosi “rate-limiting” më rigoroz për të bllokuar këtë lloj numerimi masiv.
Meta e quajti informacionin e ekspozuar si “publik”, duke theksuar se mesazhet mbetën të enkriptuara. Por studiuesit thonë se nuk hasën asnjë pengesë teknike dhe se metoda mund të ishte përdorur nga kushdo deri në ndërhyrjen e fundit. Ata analizuan sjelljen e përdoruesve sipas shtetit dhe gjetën se shumë njerëz ekspozojnë vullnetarisht fotot dhe statuset, 44% e përdoruesve amerikanë, 62% e përdoruesve indianë dhe 61% e atyre brazilianë kishin foto profili të dukshme publikisht.
Ndër grupet më të rrezikuara do të ishin përdoruesit e WhatsApp në vende ku aplikacioni është i ndaluar, si Kina apo Myanmari, ku qeveritë mund të kishin identifikuar lehtësisht përdorues “të jashtëligjshëm”. Studiuesit zbuluan edhe çelësa enkriptimi të përsëritur në shumë llogari, shpesh të lidhura me klientë të paautorizuar që përdoren për skema mashtrimi.
WhatsApp mund të ketë nevojë për një mekanizëm alternativ, si përdorimi i emrave unikë të përdoruesve, që tashmë po testohet.
