Популярность мессенджера WhatsApp обусловлена, в том числе, простотой поиска людей, использующих сервис. Для этого достаточно знать номер человека, чтобы найти его среди пользователей мессенджера. Эта особенность позволила австрийским исследователям извлечь номера телефонов 3,5 млрд пользователей WhatsApp.

Пять главных фишек камеры HONOR Magic 7 Pro

Обзор смартфона HONOR X9c Smart: прочность со скидкой

Обзор планшета HONOR Pad V9: нейросети спешат на помощь

Наушники HUAWEI FreeBuds 6, которые понимают жесты

Репортаж со стенда HONOR на выставке MWC 2025: передовые новинки и стратегические планы на будущее с ИИ

Hollow Knight: Silksong — песнь страданий и радостей. Рецензия

Обзор смартфона HUAWEI Pura 80: удобный флагман с «Алисой»

Лучший процессор за 20 тысяч рублей — сравнение и тесты

Смартфон HUAWEI Mate 70 Pro как выбор фотографа

Источник изображения: Dima Solomin / unsplash.com

Более того, примерно для 57 % извлечённых номеров исследователи также смогли получить доступ к установленным в профиле изображениям, а для 29 % номеров — к тексту в профилях. Любопытно, что для этого им не потребовалось прибегнуть к каким-то хакерским техникам. Они попросту перебирали миллиарды телефонных номеров в WhatsApp и мессенджер сообщал, привязан ли к контакту аккаунт, а в некоторых случаях демонстрировал изображение и текст в профиле.

Исследователи задействовали масштабный перебор номеров в веб-версии WhatsApp со скоростью около 100 млн номеров в час. Отмечается, что компания Meta✴✴ Platforms, являющаяся владельцем WhatsApp, была уведомлена об этой проблеме ещё в 2017 году другими исследователями, но с тех пор так ничего и не сделала, чтобы закрыть возможность перебора телефонных номеров для проверки наличия аккаунта в мессенджере.

Австрийские исследователи уведомили Meta✴✴ о проблеме повторно в апреле этого года. К счастью, на этот раз разработчики обратили на неё внимание, и к октябрю было введено ограничение на количество запросов, чтобы предотвратить массовое сканирование. В Meta✴✴ отметили, что получаемая таким образом информация представляет собой базовые общедоступные данные, добавив, что фото и текст профиля не отображаются у людей, которые выбрали соответствующие настройки приватности для своего аккаунта. В компании также сообщили, что исследователям не удалось с помощью сканирования получить доступ к непубличной информации, и нет никаких подтверждений того, что этот способ использовался злоумышленниками.

Великобритания стала одной из первых стран, массово внедривших возрастную верификацию в интернете: согласно новому закону о безопасности в онлайн-пространстве (Online Safety Act), платформы, размещающие контент для взрослых или признанный «вредным», включая Reddit, Discord, Grindr, X и Bluesky, обязаны проверять, начиная с 25 июля, возраст пользователей. Но данная тенденция распространяется по всему миру, а интернет становится всё более закрытым.

Обзор планшета HONOR Pad V9: нейросети спешат на помощь

Лучший процессор за 20 тысяч рублей — сравнение и тесты

Hollow Knight: Silksong — песнь страданий и радостей. Рецензия

Пять главных фишек камеры HONOR Magic 7 Pro

Обзор смартфона HUAWEI Pura 80: удобный флагман с «Алисой»

Смартфон HUAWEI Mate 70 Pro как выбор фотографа

Обзор смартфона HONOR X9c Smart: прочность со скидкой

Репортаж со стенда HONOR на выставке MWC 2025: передовые новинки и стратегические планы на будущее с ИИ

Наушники HUAWEI FreeBuds 6, которые понимают жесты

Источник изображения: Towfiqu barbhuiya/Unsplash

Однако в Великобритании, как пишет The Verge, это привело к хаосу: часть сервисов ушла с британского рынка, чтобы избежать рисков и затрат, а пользователи начали обходить проверки с помощью VPN и поддельных данных. Аналогичные меры проверки возраста уже вводятся в США, Европе и Австралии, что делает ситуацию в Великобритании возможным сценарием и для других стран.

При этом большинство платформ полагаются на сторонние сервисы. Например, Bluesky использует Kids Web Services от Epic Games, Reddit сотрудничает с Persona, а Discord сотрудничает с k-ID. Как отмечает Коди Венцке (Cody Venzke), старший юрист Американского союза гражданских свобод (ACLU), отсутствие единых стандартов превращает процесс в «кошмар для приватности». Некоторые сервисы, такие как Persona, обещают удалять данные через семь дней, но гарантий нет, а риски утечек остаются высокими. В 2024 году исследователи обнаружили, что AU10TIX, система верификации, используемая TikTok, Uber и X, оставляла данные пользователей, включая фото водительских прав, незащищёнными в течение нескольких месяцев.

Несмотря на риски, власти продолжают продвигать идею «возрастных ворот» в интернете. В Европейском союзе готовится масштабное внедрение цифровых удостоверений личности, в Австралии вводится возрастная фильтрация в поисковых системах, а в ряде штатов США, включая Алабаму, Айдахо, Индиану, Кентукки, Северную Каролину и Техас, для доступа к сайтам для взрослых требуется предъявить документ. В 2025 году Верховный суд США отменил прежнюю позицию о неконституционности таких мер, признав, что у взрослых нет права на отказ от верификации, если это необходимо для защиты несовершеннолетних от контента определённого рода. При этом попытки распространить требования на социальные сети и магазины приложений пока блокируются. В частности, судебные иски от торговой группы NetChoice, поддерживающей Google, Meta✴✴, X, Amazon и Discord, остановили подобные законы в Калифорнии, Арканзасе, Джорджии, Огайо и Флориде.

Одновременно в США, как и в Великобритании, отсутствуют единые правила и гарантии защиты данных. Что касается ЕС, то там рассматривают альтернативный подход. В частности, тестируется государственная система верификации возраста, в которую пользователи смогут загрузить паспорт или ID, а в ответ получат цифровое подтверждение возраста без раскрытия других данных. Система должна стать промежуточным решением до запуска единой цифровой идентичности в 2025 году и также позволит использовать методы идентификации, применяемые банками и операторами связи.

Однако централизованный подход вызывает вопросы. Например, люди без документов могут оказаться отрезанными от онлайн-контента. Алексис Хэнкок (Alexis Hancock), директор по инжинирингу Фонда электронных рубежей Electronic Frontier Foundation (EFF), занимающегося защитой гражданских свобод в цифровом мире, отметила, что при цифровой идентификации провайдер может получить информацию о том, где и когда пользователь предъявил свой ID, в отличие от офлайн, когда, например, показ паспорта в магазине не фиксируется госорганами.

В перспективе ЕС планирует внедрить технологию zero-knowledge proof (ZKP), позволяющую подтверждать возраст без раскрытия даты рождения. Google уже интегрировал ZKP в Google Wallet и открыл код для использования, в том числе в странах ЕС.