史上最大規模個資外洩？WhatsApp 爆嚴重漏洞，35 億筆資料看光光

奧地利研究人員近日揭露 WhatsApp 存在重大設計漏洞，使他們得以收集超過 35 億筆用戶個人資料，包含電話號碼、姓名與部分頭像。他們形容這起事件可能是「史上最大規模的資料外洩」。

WhatsApp 長期允許用戶透過輸入電話號碼查詢帳號資料，但研究人員利用 Google libphonenumber 技術自動生成 630 億筆號碼進行比對，以每秒 7,000 次查詢、每小時超過 1 億帳號的速度掃描，卻未遭封鎖，也未遇到有效速率限制。他們最終確認 35 億筆有效帳號，其中 57% 有公開頭像，且三分之二包含可辨識人臉。

研究警告，這些圖片、頭像文字與公開資訊可被用來進一步推測用戶身分、職業、政治立場、性取向等資訊。部分電話還連結到政府與軍方官員，風險更高。

研究亦指出，即使在中國、緬甸、北韓等封鎖 WhatsApp 的國家，仍有數百萬帳號與當地電話綁定，顯示使用者可能面臨高風險後果。而已註冊電話號碼清單可被濫用於垃圾簡訊、釣魚攻擊與自動撥號詐騙。

研究團隊檢視 2021 年 Facebook 大規模資料外洩事件，並發現 WhatsApp 取得的 35 億筆資料中，仍有約一半電話號碼有效，凸顯漏洞帶來的長期風險。

Meta 在回應中未說明過去是否已採取保護措施，但表示正在強化反爬蟲系統，並感謝研究團隊負責任揭露。WhatsApp 工程副總裁 Nitin Gupta 強調，用戶訊息仍受到端到端加密保護，研究人員無法存取非公開內容，並確認研究中資料已被安全刪除。

研究人員指出，目前 WhatsApp 已阻擋原本的資料抓取方式，呼籲外界持續關注平台資安。