WhatsApp爆資安漏洞！35億帳號個資「恐大規模外洩」 波及全球用戶

全球廣受使用的通訊軟體WhatsApp，近日被揭露存在重大資安漏洞，恐導致35億筆使用者資料遭到蒐集，引發外界高度關注。近日一項研究指出，WhatsApp內建的「聯絡人比對機制」原本設計用於透過電話號碼確認使用者是否在平台上，但由於缺乏有效的查詢限制，使得研究人員能以極高速度、幾乎不受阻擋地輸入大量電話號碼，藉此確認全球各地帳號存在與否，並擷取公開個資。其母公司「Meta」證實相關問題，並聲稱已完成修補，強調訊息內容加密未遭破壞，但專家提醒，僅靠端對端加密並不足以完全保護個資安全。

綜合外媒報導，奧地利維也納大學及SBA Research研究團隊表示，他們建立一套演算法，以每秒7000筆速度試探性輸入號碼，單一小時內即可比對超過一億組電話，最終確認至少35億個活躍用戶資料，遠高於WhatsApp官方宣稱的「超過20億」。

雖然訊息內容仍受加密保護，但研究人員強調，這項漏洞暴露的其實是另一層風險：使用者的「元資料」（Metadata）仍可能成為外洩目標，包括電話號碼、位置推估、裝置型號、帳號註冊時間、甚至綁定裝置數量等皆可被分析。團隊進一步指出，在美國、巴西、墨西哥等國，元資料的精準度足以推算到州別位置，若遭不法份子利用，恐造成釣魚詐騙、騷擾電話或社交工程攻擊等後果。

研究還揭露多項令人警惕的趨勢。首先，即使在中國大陸、伊朗、緬甸等官方禁用WhatsApp的國家，仍有「數百萬活躍帳號」存在，顯示當地民眾可能透過翻牆服務繞過限制，若遭政府掌握，恐面臨拘留或監控。此外，團隊發現2021年Meta重大資料外洩事件中遭曝光的5億筆電話號碼，至今仍有一半以上活躍於WhatsApp，顯示長期資安風險尚未解除。

更令人擔憂的是，有超過57%帳號具備可辨識的人臉大頭照，另有近三成用戶在個人簡介或連結中透露職業、政治傾向、性傾向及電子郵件等敏感資訊，足以讓攻擊者建立「反查電話簿」，藉由照片辨識交叉比對身分。

對此，WhatsApp工程副總裁Nitin Gupta回應，目前已與研究團隊合作修補漏洞，並著手強化防止「資料刮取」（Scraping）的技術，強調研究過程中「沒有未授權者濫用此機制」，且研究團隊已安全刪除測試資料。

不過，研究團隊提醒，全球通訊逐漸集中於少數平台一事，本身即可能引發更大規模的隱私風險。維也納大學研究員Aljosha Judmayer認為：「端對端加密可以保護訊息內容，但元資料若被大量蒐集與分析，仍足以描繪一個人的生活樣貌。」他呼籲大眾仍需提高警覺，定期檢查公開資訊，盡量避免在個人檔案透露不必要細節，以減少落入攻擊者瞄準的可能性。