Recent, cercetători de la Universitatea din Viena și SBA Research au demonstrat vulnerabilități majore ale API-urilor în platforme de mesagerie precum WhatsApp. Această vulnerabilitate a permis generarea unei baze de date enorme cu numere de telefon și informații asociate, scoțând în evidență riscurile legate de lipsa unor controale suficiente asupra API-urilor expuse.

Un studiu recent a evidențiat modul în care API-ul WhatsApp a fost exploatat pentru a colecta în mod masiv date despre utilizatori, fără restricții de rată, și fără ca platforma să dețină măsuri de protecție adecvate. Acest incident a fost remediat de către WhatsApp, însă rămâne un exemplu clar despre vulnerabilitățile cauzate de API-uri neprotejate.

Un cercetător a folosit funcțiile API-ului pentru a verifica dacă un număr de telefon este asociat unui cont WhatsApp și ce dispozitive sunt conectate. Prin interogări fără limită, au fost verificate peste 100 de milioane de numere pe oră, rezultând identificarea a 3,5 miliarde de conturi active. Datorită acestor acțiuni, s-a obținut o bază de date ce conține miliarde de informații despre utilizatori din întreaga lume, inclusiv din țări în care WhatsApp era interzis sau restrictionat.

Ce date au fost colectate și care sunt riscurile

Cercetătorii au extras fotografie de profil, descrieri publice, informații despre dispozitivele utilizate și alte detalii personale. Pe o perioadă scurtă, au descărcat milioane de fotografii și informații precum linkuri și texte descriptive, unele incluzând date ce pot identifica direct utilizatori, cum ar fi fețe sau informații personale.

În plus, comparând aceste date cu o scurgere similară din 2021, s-a constatat că peste jumătate dintre numerele de telefon utilizate în 2021 sunt încă active în 2025. Acest fapt arată că datele extrase pot fi valorificate pentru atacuri de tip phishing, inginerie socială sau alte activități malițioase, chiar și după mai mulți ani.

Impactul și resursele potențiale ale scurgerii de date

Dacă datele colectate ar fi fost publicate, ar fi reprezentat una dintre cele mai mari scurgeri din istorie. Setul de informații include numere de telefon, timestamp-uri, poze, texte și chei publice pentru criptarea end-to-end. Exemplele anterioare, precum cele de pe Facebook sau Twitter, ilustrează riscurile mari generate de API-uri necorespunzător protejate.

Importanța monitorizării și a controalelor API

Evenimentul evidențiază necesitatea implementării unor măsuri stricte de control asupra API-urilor pentru a preveni exploatarea acestora în scopuri malițioase. Lipsa limitărilor și a verificărilor face din aceste mecanisme o țintă ideală pentru atacatori. Contină să fie esențială informarea și actualizarea constantă a strategiilor de securitate în platformele digitale.

Monitorizarea evoluției acestor vulnerabilități rămâne crucială pentru protejarea datelor personale și pentru evitarea unor potențiale daune pe scară largă.