WhatsApp手机号码枚举漏洞泄露35.46亿个人信息
该文章是对(NDSS 2026 论文《Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy》)中文精要版总结。
一、核心结论(一句话概括)
2024年12月至2025年4月,研究团队仅用一台大学服务器、5个WhatsApp账号,未做任何隐藏,就成功枚举并确认了全球约35.46亿个活跃WhatsApp账号(超过Meta官方公开的“超20亿”用户75%以上),并获取了包括个人资料图片、关于文字、E2EE公钥、设备信息、时间戳等海量元数据。整个过程几乎未遭遇有效速率限制,最终在负责披露后Meta才修复了这一严重漏洞。
二、漏洞本质
WhatsApp的“联系人发现”机制本身就要求服务器回答“这个号码是否注册”,这从设计上就无法完全阻止枚举攻击。过去的研究(2012、2021)已经被限速到几乎不可行,但2024年底该防护形同虚设,研究者最高达到每秒7000个号码的查询速度(每小时超1亿),5个账号同时跑,几个月内把全球可疑号码跑完一遍都没有被封。
三、规模之恐怖:历史上最大规模的“合法”数据收集
- 总发现活跃账号:3,546,479,731 个(35.46亿)
- 覆盖245个国家和地区
- 数据集总大小:若泄露,将成为人类历史上最大单次数据泄露(远超2013年Yahoo 30亿)
- 获取信息包括:
- 是否注册
- 主设备+伴侣设备(Web/桌面/平板)数量
- 个人资料图片(57%用户公开)
- 关于文字(29%用户自定义)
- 业务账号信息(9%)
- X25519身份公钥、签名预钥、一次性预钥及时间戳
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
暂无评论内容