Celah API WhatsApp Izinkan Peneliti Mengumpulkan 3,5 Miliar Nomor Akun Secara Massal

Para peneliti keamanan menemukan kelemahan serius pada API WhatsApp yang memungkinkan pengumpulan besar-besaran nomor telepon dan informasi pribadi pengguna. Dengan memanfaatkan fitur contact discovery tanpa batasan rate limiting, mereka berhasil menyusun daftar berisi 3,5 miliar nomor ponsel aktif yang terdaftar di WhatsApp, menjadikannya salah satu bentuk enumerasi terbesar yang pernah dilakukan terhadap sebuah platform komunikasi global.

Temuan ini diungkap oleh peneliti dari University of Vienna dan SBA Research. Mereka menggunakan endpoint GetDeviceList pada mekanisme contact discovery WhatsApp, yang memungkinkan pengecekan apakah sebuah nomor terhubung dengan akun WhatsApp dan perangkat apa saja yang terasosiasi. Karena tidak ada pembatasan kueri, API tersebut dapat disalahgunakan untuk melakukan permintaan dalam volume sangat tinggi.

Dengan hanya lima sesi autentikasi dari satu server universitas, para peneliti mampu mengirim lebih dari 100 juta permintaan per jam. Tak satu pun dari aktivitas tersebut diblokir atau dibatasi oleh WhatsApp, termasuk dari sisi akun, IP, maupun trafik yang jelas bersifat abnormal. Setelah menghasilkan 63 miliar nomor telepon potensial secara global dan menguji semuanya, mereka menemukan 3,5 miliar nomor yang aktif menggunakan WhatsApp.

Hasil penelitian ini juga memberikan gambaran distribusi pengguna WhatsApp di seluruh dunia, termasuk negara-negara dengan basis pengguna terbesar: India (749 juta), Indonesia (235 juta), Brasil (206 juta), Amerika Serikat (138 juta), Rusia (133 juta), dan Meksiko (128 juta). Menariknya, jutaan akun terdeteksi di negara-negara yang sempat melarang WhatsApp, seperti China, Iran, Korea Utara, dan Myanmar.

Selain sekadar mengonfirmasi keberadaan akun, para peneliti memanfaatkan endpoint tambahan seperti GetUserInfo, GetPrekeys, dan FetchPicture untuk memperoleh informasi personal lain yang dapat diakses publik, termasuk foto profil, teks “about”, hingga data perangkat lain yang terhubung. Sebagai contoh, pengujian terhadap nomor-nomor di AS saja menghasilkan unduhan 77 juta foto profil tanpa pembatasan apa pun—banyak di antaranya memperlihatkan identitas wajah pemilik akun.

Perbandingan dengan kebocoran besar Facebook tahun 2021 menunjukkan bahwa 58% nomor telepon yang bocor kala itu masih aktif digunakan di WhatsApp hingga tahun 2025, memperlihatkan bahwa data semacam ini tetap bernilai bagi penyerang selama bertahun-tahun.

Para peneliti menegaskan bahwa jika data sebesar ini jatuh ke tangan pelaku kejahatan, dampaknya dapat menandingi kebocoran data terbesar dalam sejarah, karena memuat nomor telepon, foto profil, about text, timestamps, serta kunci publik enkripsi end-to-end.

WhatsApp telah menambahkan pembatasan rate limiting setelah menerima laporan tersebut. Namun kasus ini menggambarkan permasalahan umum di banyak platform digital: API yang dirancang untuk mempermudah akses informasi justru menjadi celah yang dimanfaatkan untuk scraping data massal.

Bukan hanya WhatsApp, sejumlah perusahaan besar sebelumnya mengalami insiden serupa. Facebook pernah terkena eksploitasi API yang memungkinkan scraping data 533 juta pengguna. Twitter mengalami kebocoran 54 juta akun akibat kelemahan serupa, sementara Dell mengungkap 49 juta catatan pelanggan yang disalahgunakan dari endpoint API tanpa perlindungan. Semua kasus tersebut memiliki akar yang sama: kurangnya pembatasan pada API yang memungkinkan enumerasi skala besar.