Adopsi massal WhatsApp sebagian berasal dari betapa mudahnya menemukan kontak baru di platform perpesanan: Tambahkan nomor telepon seseorang, dan WhatsApp langsung menunjukkan apakah mereka menggunakan layanan tersebut, dan sering kali juga gambar profil dan nama mereka.
Ternyata, ulangi trik yang sama beberapa miliar kali untuk setiap nomor telepon yang mungkin, dan fitur yang sama juga dapat berfungsi sebagai cara mudah untuk mendapatkan nomor ponsel hampir setiap pengguna WhatsApp di dunia—bersama dengan, dalam banyak kasus, foto profil dan teks yang mengidentifikasi masing-masing pengguna tersebut. Dampaknya adalah meluasnya paparan informasi pribadi pada sebagian besar populasi dunia.
Sekelompok peneliti Austria kini telah menunjukkan bahwa mereka dapat menggunakan metode sederhana untuk memeriksa setiap kemungkinan nomor dalam penemuan kontak WhatsApp untuk mengekstrak 3,5 miliar nomor telepon pengguna dari layanan perpesanan tersebut. Sekitar 57 persen dari pengguna tersebut, mereka juga menemukan bahwa mereka dapat mengakses foto profil mereka, dan 29 persen lainnya, teks di profil mereka. Meskipun ada peringatan sebelumnya tentang paparan data ini oleh WhatsApp dari peneliti lain pada tahun 2017, mereka mengatakan bahwa perusahaan induk layanan tersebut, Meta, masih gagal membatasi kecepatan atau jumlah permintaan penemuan kontak yang dapat dilakukan para peneliti dengan berinteraksi dengan aplikasi berbasis browser WhatsApp, sehingga memungkinkan mereka memeriksa sekitar seratus juta nomor dalam satu jam.
Hasilnya akan menjadi “kebocoran data terbesar dalam sejarah, jika hal ini tidak dikumpulkan sebagai bagian dari studi penelitian yang dilakukan secara bertanggung jawab,” seperti yang dijelaskan para peneliti dalam sebuah makalah yang mendokumentasikan temuan mereka.
“Sepengetahuan kami, ini menandai paparan nomor telepon dan data pengguna terkait yang paling luas yang pernah didokumentasikan,” kata Aljosha Judmayer, salah satu peneliti di Universitas Wina yang mengerjakan penelitian ini.
Para peneliti mengatakan mereka memperingatkan Meta tentang temuan mereka pada bulan April dan menghapus salinan 3,5 miliar nomor telepon mereka. Pada bulan Oktober, perusahaan telah memperbaiki masalah pencacahan dengan memberlakukan tindakan “pembatasan jumlah” yang lebih ketat yang mencegah metode penemuan kontak skala besar yang digunakan para peneliti. Namun hingga saat itu, paparan data juga bisa dieksploitasi oleh orang lain dengan menggunakan teknik pengikisan yang sama, tambah Max Günther, peneliti lain dari universitas yang ikut menulis makalah tersebut. “Jika hal ini dapat kita peroleh dengan sangat mudah, orang lain juga dapat melakukan hal yang sama,” katanya.
Dalam sebuah pernyataan kepada WIRED, Meta berterima kasih kepada para peneliti, yang melaporkan penemuan mereka melalui sistem “bug bounty” Meta, dan menggambarkan data yang diekspos sebagai “informasi dasar yang tersedia untuk umum,” karena foto profil dan teks tidak diekspos untuk pengguna yang memilih untuk menjadikannya pribadi. “Kami telah mengerjakan sistem anti-goresan yang terdepan di industri, dan penelitian ini berperan penting dalam pengujian stres dan memastikan kemanjuran pertahanan baru ini,” tulis Nitin Gupta, wakil presiden teknik di WhatsApp. Gupta menambahkan, “Kami tidak menemukan bukti pelaku jahat menyalahgunakan vektor ini. Sebagai pengingat, pesan pengguna tetap bersifat pribadi dan aman berkat enkripsi end-to-end bawaan WhatsApp, dan tidak ada data non-publik yang dapat diakses oleh para peneliti.”
