WhatsApp 用戶個資曝險：研究揭 API 漏洞可大規模取得手機號碼、照片與個人資訊

維也納大學與 SBA Research 的研究人員近期發現，WhatsApp 的通訊錄同步 API（contact-discovery API）因缺乏速率限制（rate limiting）機制，使攻擊者得以大規模爬取用戶個人資料。研究團隊成功取得 35 億筆手機號碼，並進一步擷取個人檔案照片、自我介紹文字等敏感資訊。WhatsApp 已於事後新增速率限制保護機制，但此研究凸顯公開 API 若缺乏適當防護，將對用戶隱私構成重大威脅。

個資外洩範圍遠超手機號碼

這項研究最令人擔憂之處，在於攻擊者能取得的資訊遠不止於手機號碼。研究人員透過 WhatsApp 的多個 API 端點，包括 GetUserInfo、GetPrekeys 和 FetchPicture，成功收集了用戶的個人檔案照片、「關於我」自我介紹文字，以及與該手機號碼關聯的裝置資訊。

在針對美國號碼的測試中，研究人員下載了 7,700 萬張個人檔案照片，過程中完全沒有遇到任何速率限制。這些照片中有許多可清楚辨識臉孔。若用戶設定了公開的「關於我」文字，還會一併揭露個人詳細資訊和其他社群帳號連結。研究論文指出，這個包含 35 億筆活躍帳號的資料集，若非在負責任的研究框架下收集，可能會成為史上最大的資料洩露事件。

API 濫用手法解析

研究人員利用 WhatsApp 的通訊錄同步功能，向平台的 GetDeviceList API 端點提交手機號碼，確認號碼是否關聯到帳號及使用了哪些裝置。整個操作僅使用一台大學伺服器和五個已驗證的工作階段（authenticated sessions），每小時即可檢查超過 1 億個號碼。

研究人員原本預期會被 WhatsApp 偵測並封鎖，但平台從未封鎖帳號、限制流量或 IP 位址，也從未主動聯繫研究團隊。研究人員產生了 630 億個全球可能的手機號碼組合進行測試，最終確認了 35 億個活躍帳號。數據顯示，WhatsApp 全球使用人數最多的國家依序為印度（7.49 億）、印尼（2.35 億）、巴西（2.06 億）、美國（1.38 億）、俄羅斯（1.33 億）及墨西哥（1.28 億）。

外洩資料的長期隱私風險

研究人員將此次發現與 2021 年 Facebook 手機號碼爬取事件進行比較，結果顯示 58% 的外洩 Facebook 號碼在 2025 年仍活躍於 WhatsApp。這項發現凸顯大規模手機號碼洩露的長期危害：這些資料在多年後仍可被用於網路釣魚、社交工程攻擊或身分詐騙等惡意行為。

WhatsApp 的案例反映了線上平台的普遍現象。2021 年，攻擊者利用 Facebook「新增好友」功能的 API 漏洞，成功建立了 5.33 億個用戶的個人檔案，愛爾蘭資料保護委員會（DPC）因此對 Meta 處以 2.65 億歐元罰款。Twitter（現為 X）也曾遭遇類似問題，攻擊者將手機號碼和電子郵件地址比對到 5,400 萬個帳號。Dell 亦曾披露 4,900 萬筆客戶記錄遭爬取，原因同樣是攻擊者濫用了未受保護的 API 端點。

對於一般用戶而言，建議檢視 WhatsApp 隱私設定，將個人檔案照片和「關於我」資訊的可見範圍限制為「我的聯絡人」，以降低資料遭大規模爬取的風險。

本文轉載自 BleepingComputer。