Beranda / imvestigatif / whatsapp

Whatsapp Bocor!

webmaster

3,5 Miliar Nomor Pengguna Terungkap akibat Celah Keamanan Global

1. Ringkasan Eksekutif

WhatsApp menghadapi celah besar di mekanisme contact-discovery yang memungkinkan peneliti dari University of Vienna dan SBA Research melakukan “enumerasi” terhadap 3,5 miliar nomor telepon aktif di WhatsApp. Celah ini dieksploitasi dengan sangat cepat — lebih dari 100 juta kueri per jam — karena sistem rate-limiting WhatsApp tidak cukup mencegah aktivitas massal tersebut. Meskipun isi pesan tetap terenkripsi secara end-to-end, metadata pengguna seperti nomor telepon, foto profil publik, status “About”, timestamp, dan kunci publik enkripsi berhasil diambil. Paparan skala besar ini membuka risiko serius bagi privasi individu, pengintaian, dan penipuan massal.

2. Latar Belakang & Konteks

2.1 Fitur Contact Discovery

  • Fitur contact discovery di WhatsApp memungkinkan pengguna secara otomatis mengetahui siapa di daftar kontak mereka yang menggunakan WhatsApp.
  • Untuk melakukan itu, WhatsApp mengecek nomor-nomor telepon ke servernya, mencocokkan dengan database pengguna WhatsApp.

2.2 Mekanisme Rate-Limiting yang Lemah

  • Peneliti menyadari bahwa meskipun melakukan kueri dalam jumlah sangat besar, permintaan mereka tidak diblokir secara efektif oleh WhatsApp.
  • Mereka berhasil mengirimkan kueri dengan kecepatan hingga 7.000 nomor per detik per sesi, mencapai lebih dari 100 juta nomor per jam.
  • Dari kombinasi kueri ini, mereka mengonfirmasi 3,5 miliar akun WhatsApp di 245 negara.

3. Temuan Utama Penelitian

3.1 Data Apa yang Diekspos

Dalam ekploitasi, peneliti berhasil mengumpulkan sejumlah elemen data publik (atau semi-publik):

  • Nomor telepon pengguna yang terdaftar di WhatsApp.
  • Kunci publik (public keys) yang digunakan dalam enkripsi end-to-end.
  • Timestamp (waktu) tertentu terkait status profil / aktivitas profil.
  • Foto profil publik, jika pengguna mengatur agar terlihat publik.
  • Teks “About” (status profil), jika publik.
  • Dari metadata tersebut, peneliti juga mengekstrak informasi inferensial, misalnya sistem operasi perangkat pengguna, usia akun, dan jumlah perangkat sekunder terhubung (misalnya WhatsApp Web).

3.2 Distribusi Global & Negara Sensitif

  • Menurut penelitian, terdapat juta-an akun aktif di negara-negara yang secara resmi melarang WhatsApp, seperti China, Myanmar, dan Iran.
  • Peneliti juga mencatat pola penggunaan global: misalnya distribusi sistem operasi (Android vs iOS), kebiasaan privasi pengguna (berapa banyak yang menyetel profil “About” publik), dan pertumbuhan akun di berbagai wilayah.

3.3 Masalah Kunci Enkripsi (Key Reuse)

  • Dalam beberapa kasus, peneliti menemukan reuse (penggunaan ulang) kunci kriptografi pada berbagai perangkat atau nomor telepon.
  • Reuse kunci ini dapat menunjukkan penggunaan klien WhatsApp tidak resmi (atau klien berpotensi berbahaya), yang bisa menurunkan keamanan enkripsi atau membuka sisi serangan tersendiri.

3.4 Risiko dari Nomor Telepon Bocor

  • Peneliti mengamati bahwa hampir setengah nomor telepon yang pernah bocor melalui skandal Facebook 2021 (sekitar 500 juta nomor) masih aktif di WhatsApp.
  • Karena itu, data lama yang bocor bisa digabung dengan data ini, membuka potensi penipuan, panggilan spam, dan rekayasa sosial (social engineering).

4. Risiko & Implikasi

4.1 Privasi Individu

  • Identitas dasar (nomor telepon) dipertautkan dengan foto wajah (pada banyak akun), memungkinkan identifikasi visual jika digabung dengan teknologi pengenalan wajah.
  • Status “About” bisa mengandung informasi sensitif: pandangan politik, kepercayaan, pekerjaan, atau tautan ke profil media sosial lain.

4.2 Keamanan & Kriminal

  • Basis data berisi nomor WhatsApp valid sangat berharga untuk penipuan vishing, phising, spam, dan panggilan otomatis terarah.
  • Penyerang bisa menarget pengguna berdasarkan profil publik, membuat pesan sangat khusus dan meyakinkan.

4.3 Pengintaian & Pengawasan Negara

  • Di negara yang otoriter atau dengan pengawasan ketat, data ini bisa dipakai untuk identifikasi aktivis, wartawan, atau pengguna ilegal (misalnya warga yang menggunakan WhatsApp secara ilegal).
  • Kombinasi nomor + metadata + gambar dapat dipakai untuk profiling massal dan represif digital.

4.4 Masalah Arsitektural

  • Temuan ini menunjukkan kelemahan fundamental dalam model identitas berbasis nomor telepon. Karena nomor telepon relatif publik, mudah di-scan, dan tidak acak, ia menjadi titik lemah besar di platform dengan miliaran pengguna.
  • Reliance pada rate-limiting sebagai satu-satunya pertahanan (tanpa proteksi kriptografi tambahan) rentan terhadap eksploitasi.

5. Respons WhatsApp / Meta & Mitigasi yang Dilakukan

  • Setelah laporan diserahkan melalui program bug bounty, WhatsApp/Meta bekerja sama dengan peneliti untuk memperbaiki mekanisme.
  • Implementasi rate-limiting berbasis kardinalitas untuk membatasi kueri profil massal.
  • Perlindungan anti-scraping ditingkatkan dan mekanisme deteksi aktivitas kueri massal diperkuat.
  • Meta memperluas riset keamanan via “WhatsApp Security Research Proxy” dan meningkatkan penghargaan bug bounty untuk mendorong penelitian independen.
  • Peneliti memastikan untuk menghapus semua data yang dikumpulkan setelah analisis dan sebelum publikasi.

6. Rekomendasi

Berdasarkan temuan dan analisis, berikut rekomendasi untuk berbagai pemangku kepentingan:

6.1 Untuk WhatsApp / Meta

  1. Desain ulang identitas: Pertimbangkan untuk mengurangi ketergantungan pada nomor telepon sebagai identitas utama; perkenalkan alternatif seperti username.
  2. Proteksi kueri lebih kuat: Selain rate-limiting, tambahkan mekanisme seperti CAPTCHA, throttling dinamis, atau analisis anomali untuk mencegah scraping otomatis.
  3. Audit berkala: Lakukan audit keamanan independen rutin terhadap mekanisme contact discovery dan endpoint publik.
  4. Transparansi: Terbitkan laporan keamanan publik tahunan yang menjelaskan mitigasi, insiden, dan temuan dari bug bounty.

6.2 Untuk Regulator & Pembuat Kebijakan

  1. Regulasi privasi: Regulasi harus mencakup metadata, bukan hanya konten pesan.
  2. Kewajiban uji penetrasi: Platform besar seperti WhatsApp sebaiknya diwajibkan melakukan pentest oleh pihak ketiga secara berkala.
  3. Proteksi pengguna di negara berisiko: Di negara dengan risiko pengawasan, dorong penggunaan fitur anonimitas atau identitas tidak langsung (non-nomor) di aplikasi pesan.

6.3 Untuk Pengguna

  1. Periksa pengaturan privasi: Batasi siapa yang bisa melihat foto profil dan status “About”.
  2. Gunakan verifikasi dua langkah: Aktifkan two-step verification di WhatsApp untuk menambah lapisan keamanan.
  3. Hati-hati membagikan nomor: Hindari menyebar nomor telepon di domain publik, grup masif, atau aplikasi lain tanpa pertimbangan privasi.

7. Kesimpulan

Insiden ini menegaskan bahwa bahkan platform terpopuler sekalipun bisa punya celah desain besar: fitur kenyamanan (contact discovery) dapat disalahgunakan untuk memetakan miliaran pengguna. Meskipun WhatsApp telah merespons dengan memperkuat mekanisme, akar masalah — nomor telepon sebagai identitas — masih menimbulkan risiko jangka panjang. Untuk melindungi privasi global, perlu perubahan struktural, regulasi kuat, dan kolaborasi terus-menerus antara penyedia layanan, peneliti, dan pembuat kebijakan.

Referensi

  1. University of Vienna & SBA Research. (2025). “Researchers discover security vulnerability in WhatsApp.”
  2. SBA Research. (2025). “Global Collection of User Data Was Possible Through a – Now Resolved – Privacy Vulnerability.”
  3. Wired. (2025). A Simple WhatsApp Security Flaw Exposed 3.5 Billion Phone Numbers.
  4. EurekAlert!. (2025). Researchers discover security vulnerability in WhatsApp.
  5. The Independent. (2025). WhatsApp security flaw exposes 3.5 billion people’s phone numbers.
  6. The Register. (2025). 3.5B WhatsApp users’ info scooped through enumeration flaw.
  7. Computing.co.uk. (2025). WhatsApp feature enabled stealth scrape of 3.5 billion user profiles.
  8. The Hacker News. (2025). Meta Expands WhatsApp Security Research with New Proxy Tool and $4M in Bounties.
  9. Gegenhuber, G., Frenzel, P. É., Günther, M., & Judmayer, A. (2025). Prekey Pogo: Investigating Security and Privacy Issues in WhatsApp's Handshake Mechanism. arXiv preprint.