Các nhà nghiên cứu vừa công bố một lỗ hổng trong WhatsApp cho phép thu thập số điện thoại của tới 3,5 tỷ người dùng trên toàn cầu. Với quy mô này, đây được xem là một trong những sự cố quyền riêng tư lớn nhất từng xảy ra với ứng dụng nhắn tin phổ biến nhất thế giới.
Vấn đề bắt nguồn từ tính năng tìm kiếm danh bạ – vốn được thiết kế để giúp người dùng biết ai trong danh bạ đang dùng WhatsApp. Tuy nhiên, cơ chế này lại thiếu kiểm soát tần suất truy vấn. Nhờ đó, nhóm nghiên cứu có thể quét hơn 100 triệu số điện thoại mỗi giờ, và từ cuối 2024 đến đầu 2025 họ đã thử nghiệm trên 63 tỷ số tại 245 quốc gia bằng cách phân tích API của WhatsApp.
Điều đáng nói là dữ liệu bị lộ không chỉ dừng ở số điện thoại. Từ quá trình thu thập, họ còn lấy được ảnh đại diện, trạng thái cá nhân, thông tin doanh nghiệp, loại thiết bị, khóa mã hóa và thời điểm hoạt động gần nhất. Riêng tại Mỹ, nhóm đã tải xuống 77 triệu ảnh đại diện công khai – trong đó khoảng 66% chứa khuôn mặt, mở ra nguy cơ xây dựng các hệ thống tra cứu số điện thoại dựa trên nhận diện khuôn mặt.
Một phát hiện khác cũng rất nhạy cảm: tại những quốc gia hạn chế hoặc cấm WhatsApp, lượng người dùng thực tế vẫn rất lớn. Cụ thể, có 2,3 triệu người ở Trung Quốc, 1,6 triệu ở Myanmar và 59 triệu ở Iran vẫn sử dụng ứng dụng. Với bối cảnh pháp lý nhạy cảm, việc lộ thông tin tài khoản có thể khiến người dùng phải đối mặt với rủi ro giám sát hoặc xử phạt.
Báo cáo cũng nhắc lại vụ rò rỉ dữ liệu Facebook năm 2021: gần một nửa số điện thoại bị lộ khi đó vẫn còn hoạt động trên WhatsApp sau sáu năm. Điều này cho thấy một khi thông tin cá nhân bị rò rỉ, nó gần như không bao giờ “mất giá trị” và tiếp tục là nguồn dữ liệu cho lừa đảo, spam, phishing hay robocall trong thời gian dài.
Ngay khi nhận được cảnh báo, WhatsApp đã phối hợp cùng nhóm nghiên cứu để triển khai nhiều lớp bảo vệ mới: siết chặt tốc độ truy vấn, hạn chế quyền xem ảnh và trạng thái kể cả khi bật công khai, gỡ dấu thời gian khỏi API và sửa lỗi tái sử dụng khóa trên Android. WhatsApp cũng khẳng định lớp mã hóa đầu cuối vẫn an toàn và cảm ơn nhóm nghiên cứu đã hỗ trợ khắc phục.
