Adopsi massal WhatsApp sebagian berasal dari kemudahan untuk menemukan kontak baru di platform pesan tersebut: Tambahkan nomor telepon seseorang, dan WhatsApp secara instan menunjukkan apakah mereka menggunakan layanannya, dan seringkali juga foto profil serta nama mereka.
Ulangi trik yang sama beberapa miliar kali dengan setiap nomor telepon yang mungkin, ternyata, fitur yang sama ini juga dapat berfungsi sebagai cara yang mudah untuk mendapatkan nomor ponsel hampir setiap pengguna WhatsApp di dunia—bersama dengan, dalam banyak kasus, foto profil dan teks yang mengidentifikasi masing-masing pengguna tersebut. Hasilnya adalah paparan luas informasi pribadi untuk sebagian signifikan dari populasi global.
Sekelompok peneliti Austria kini telah menunjukkan bahwa mereka mampu menggunakan metode sederhana itu, dengan memeriksa setiap nomor yang mungkin dalam penemuan kontak WhatsApp, untuk mengekstrak 3,5 miliar nomor telepon pengguna dari layanan pesan tersebut. Untuk sekitar 57 persen dari pengguna itu, mereka juga menemukan bahwa mereka dapat mengakses foto profil mereka, dan untuk 29 persen lainnya, teks pada profil mereka. Meskipun ada peringatan sebelumnya tentang paparan data ini dari peneliti lain pada 2017, perusahaan induk layanannya, Meta, dinilai gagal membatasi kecepatan atau jumlah permintaan penemuan kontak yang dapat dilakukan peneliti dengan berinteraksi melalui aplikasi WhatsApp berbasis browser, memungkinkan mereka memeriksa sekitar seratus juta nomor per jam.
Hasilnya akan menjadi “kebocoran data terbesar dalam sejarah, andaikata tidak dikumpulkan sebagai bagian dari studi penelitian yang dilakukan secara bertanggung jawab,” seperti dijelaskan para peneliti dalam sebuah makalah yang mendokumentasikan temuan mereka.
“Sepengetahuan kami, ini menandai paparan nomor telepon dan data pengguna terkait yang paling ekstensif yang pernah didokumentasikan,” ujar Aljosha Judmayer, salah satu peneliti di Universitas Vienna yang terlibat dalam studi tersebut.
Para peneliti menyatakan mereka telah memperingatkan Meta tentang temuan mereka pada bulan April dan menghapus salinan 3,5 miliar nomor telepon yang mereka miliki. Pada Oktober, perusahaan telah memperbaiki masalah enumerasi tersebut dengan memberlakukan langkah “pembatasan laju” yang lebih ketat yang mencegah metode penemuan kontak skala besar yang digunakan para peneliti. Namun hingga saat itu, paparan data tersebut juga berpotensi dieksploitasi oleh pihak lain yang menggunakan teknik scraping yang sama, tambah Max Günther, peneliti lain dari universitas yang sama yang ikut menulis makalah itu. “Jika ini bisa kami dapatkan dengan sangat mudah, orang lain juga bisa melakukan hal yang sama,” katanya.
Dalam pernyataan kepada WIRED, Meta berterima kasih kepada para peneliti, yang melaporkan penemuannya melalui sistem “bug bounty” Meta, dan menggambarkan data yang terbuka sebagai “informasi dasar yang tersedia untuk publik,” karena foto profil dan teks tidak terbuka untuk pengguna yang memilih untuk menjadikannya privat. “Kami telah mengerjakan sistem anti-scraping terdepan di industri, dan studi ini sangat instrumental dalam menguji ketahanan dan mengonfirmasi kemanjuran langsung dari pertahanan baru ini,” tulis Nitin Gupta, Wakil Presiden Teknik di WhatsApp. Gupta menambahkan, “Kami tidak menemukan bukti aktor jahat yang menyalahgunakan vektor ini. Sebagai pengingat, pesan pengguna tetap privat dan aman berkat enkripsi end-to-end default WhatsApp, dan tidak ada data non-publik yang dapat diakses oleh para peneliti.”