MEDIAAKSI.COM – Para peneliti dari University of Vienna baru-baru ini mengungkap adanya celah keamanan pada sistem penemuan kontak WhatsApp yang memungkinkan pengumpulan data publik dari 3,5 miliar pengguna secara global. Penemuan ini menunjukkan bagaimana kelemahan dalam pembatasan permintaan (rate-limiting) server dapat dieksploitasi untuk mengumpulkan informasi dalam skala yang belum pernah terjadi sebelumnya.
Studi tersebut berhasil mengumpulkan berbagai jenis data yang dapat diakses publik, termasuk nomor telepon, foto profil, teks status, serta tag bisnis yang digunakan oleh akun. Selain itu, informasi yang terikat pada kunci enkripsi end-to-end pengguna juga ikut terkumpul, menimbulkan pertanyaan mengenai keamanan metadata pengguna.
Metode yang digunakan melibatkan klien open-source yang dimodifikasi untuk mengirim kueri langsung ke infrastruktur WhatsApp, melewati aplikasi resmi. Dengan menghasilkan miliaran kemungkinan nomor ponsel secara otomatis di ratusan negara, tim peneliti mampu memvalidasi ribuan nomor setiap detiknya tanpa terdeteksi atau diblokir oleh sistem keamanan aplikasi.
Salah satu temuan yang paling signifikan adalah adanya jutaan kasus penggunaan ulang kunci enkripsi di berbagai akun, padahal idealnya setiap kunci harus bersifat unik. Lebih lanjut, beberapa kunci bahkan ditemukan hanya terdiri dari angka nol, yang mengindikasikan potensi implementasi yang keliru oleh klien pihak ketiga yang tidak resmi.
Tanggapan Resmi dari Pihak WhatsApp
Menanggapi laporan tersebut, Nitin Gupta, VP of Engineering di WhatsApp, memberikan pernyataan resmi. “Kami berterima kasih kepada para peneliti University of Vienna atas kemitraan dan ketekunan mereka yang bertanggung jawab di bawah program Bug Bounty kami. Kolaborasi ini berhasil mengidentifikasi teknik enumerasi baru yang melampaui batasan yang kami maksudkan, memungkinkan para peneliti untuk mengambil informasi dasar yang tersedia untuk umum,” ujarnya.
Gupta menambahkan, “Kami telah mengerjakan sistem anti-scraping terdepan di industri, dan studi ini sangat berperan dalam menguji dan mengonfirmasi keefektifan pertahanan baru ini. Penting untuk dicatat, para peneliti telah menghapus data yang dikumpulkan sebagai bagian dari penelitian dengan aman, dan kami tidak menemukan bukti adanya pihak jahat yang menyalahgunakan vektor ini. Pesan pengguna tetap pribadi dan aman berkat enkripsi end-to-end default WhatsApp, dan tidak ada data non-publik yang dapat diakses oleh para peneliti.”
Menyusul pengungkapan tersebut, Meta selaku perusahaan induk telah menerapkan sistem pembatasan permintaan (rate limits) yang lebih kuat pada Oktober 2025 untuk mencegah eksploitasi serupa terjadi di masa depan. (Sumber : TechRadar)
