Peringatan mendesak dikeluarkan bagi pengguna WhatsApp setelah para ahli keamanan siber menemukan celah serius di aplikasi pesan milik Meta tersebut. Para peneliti mengatakan bahwa kelemahan sederhana memungkinkan mereka mengakses 3,5 miliar profil pengguna.
Meskipun pesan pengguna tetap terenkripsi, para peneliti berhasil mengumpulkan sejumlah besar “metadata”. Hal ini memungkinkan mereka menemukan informasi pribadi, termasuk nomor telepon, lokasi, jenis perangkat, dan usia akun seseorang.
Para ahli dari University of Vienna dan SBA Research mengatakan bahwa celah keamanan ini memanfaatkan mekanisme contact discovery bawaan WhatsApp. Mekanisme ini biasanya digunakan untuk mengakses daftar kontak pengguna agar bisa menemukan pengguna WhatsApp lain melalui nomor telepon mereka.
“Namun, para peneliti menemukan bahwa tidak ada batasan jumlah kontak yang dapat dicari melalui mekanisme ini. Dengan memanfaatkan celah tersebut, para peneliti mampu menelusuri 100 juta nomor telepon setiap jam dan mengakses miliaran profil pengguna,” tulis Dailymail, Kamis (20/11/2025). Gabriel Gegenhuber, peneliti dari University of Vienna mengatakan seharusnya sistem seperti WhatsApp tidak merespons permintaan dalam jumlah tinggi dalam waktu singkat, terutama jika berasal dari satu sumber. Perilaku ini memperlihatkan celah yang memungkinkan kami mengirim permintaan tanpa batas ke server dan, dengan demikian, memetakan data pengguna di seluruh dunia.
Dengan teknik ini, para peneliti berhasil mengungkap data akun WhatsApp di 245 negara. Meta bekerja sama dengan para peneliti dan mengatakan bahwa masalah ini kini “telah ditangani dan diatasi.”
Nitin Gupta, Wakil Presiden Teknik di WhatsApp, mengatakan penelitian itu justru berhasil mengidentifikasi teknik enumerasi baru yang melampaui batas yang dimaksudkan. Artinya para peneliti dapat mengumpulkan informasi dasar yang tersedia secara publik.
“Kami telah bekerja pada sistem anti-scraping terbaik di industri, dan studi ini sangat membantu dalam menguji dan memastikan efektivitas pertahanan baru tersebut. Penting untuk dicatat, para peneliti telah menghapus data yang dikumpulkan dengan aman, dan kami tidak menemukan bukti adanya pihak jahat yang memanfaatkan celah ini.”
Gupta juga menekankan bahwa pesan pengguna tetap aman dan pribadi, serta enkripsi end-to-end WhatsApp tidak pernah terganggu. Para peneliti berhasil mengekstrak cukup data dari profil pengguna untuk mengidentifikasi lokasi hingga tingkat negara bagian.
Mereka memanfaatkan celah pada mekanisme contact discovery WhatsApp, yang kini telah diperbaiki, dan tidak ada bukti penyalahgunaan oleh pihak kriminal. Namun, para peneliti menekankan bahwa studi ini menunjukkan risiko dari “sentralisasi” layanan pesan di beberapa aplikasi saja.
Data publik awal yang tersedia untuk peneliti hanyalah informasi yang bisa dilihat siapa saja dengan nomor telepon pengguna. Namun, mereka juga bisa mengekstrak informasi tambahan, seperti sistem operasi pengguna, usia akun, dan jumlah perangkat pendamping yang terhubung. Di negara-negara termasuk Amerika Serikat, Brasil, dan Meksiko, data yang dikumpulkan cukup untuk mengidentifikasi lokasi pengguna hingga tingkat negara bagian, yang berpotensi membuat pengguna menjadi target panggilan penipuan atau serangan lainnya.
Dr Aljosha Judmayer, salah satu penulis studi, mengatakan enkripsi end-to-end di WhatsApp melindungi isi pesan, tetapi tidak selalu metadata yang terkait.
“Penelitian kami menunjukkan bahwa risiko privasi juga muncul ketika metadata dikumpulkan dan dianalisis dalam skala besar,” jelasnya.
Melalui data yang dikumpulkan dari celah ini, para peneliti menemukan fakta mengejutkan: terdapat jutaan akun aktif di negara-negara yang secara resmi melarang WhatsApp, termasuk China, Iran, dan Myanmar. Selain itu, setengah dari 500 juta nomor telepon yang terekspos dalam kebocoran Facebook 2021 masih aktif di WhatsApp. Kebocoran tersebut memuat nama lengkap, nomor telepon, lokasi, dan tanggal lahir pengguna dari 2018 hingga 2019 dan diposting di forum peretasan.
