Adopsi massal WhatsApp sebagian berasal dari betapa mudahnya menemukan kontak baru di platform perpesanan: Tambahkan nomor telepon seseorang, dan Ada apa langsung menunjukkan apakah mereka menggunakan layanan tersebut, dan seringkali juga gambar profil dan nama mereka.
Ternyata, ulangi trik yang sama beberapa miliar kali untuk setiap nomor telepon yang mungkin, dan fitur yang sama juga dapat berfungsi sebagai cara mudah untuk mendapatkan nomor ponsel hampir setiap pengguna WhatsApp di dunia—bersama dengan, dalam banyak kasus, foto profil dan teks yang mengidentifikasi masing-masing pengguna tersebut. Dampaknya adalah meluasnya paparan informasi pribadi pada sebagian besar populasi dunia.
Sekelompok peneliti Austria kini telah menunjukkan bahwa mereka dapat menggunakan metode sederhana untuk memeriksa setiap kemungkinan nomor dalam penemuan kontak WhatsApp untuk mengekstrak 3,5 miliar nomor telepon pengguna dari layanan perpesanan tersebut. Sekitar 57 persen dari pengguna tersebut, mereka juga menemukan bahwa mereka dapat mengakses foto profil mereka, dan 29 persen lainnya, teks di profil mereka. Meskipun ada peringatan sebelumnya tentang paparan data ini oleh WhatsApp dari peneliti lain pada tahun 2017, mereka mengatakan bahwa perusahaan induk layanan tersebut, Meta, masih gagal membatasi kecepatan atau jumlah permintaan penemuan kontak yang dapat dilakukan para peneliti dengan berinteraksi dengan aplikasi berbasis browser WhatsApp, sehingga memungkinkan mereka memeriksa sekitar seratus juta nomor dalam satu jam.
Hasilnya akan menjadi “kebocoran data terbesar dalam sejarah, jika hal ini tidak dikumpulkan sebagai bagian dari studi penelitian yang dilakukan secara bertanggung jawab,” seperti yang dijelaskan para peneliti dalam sebuah makalah yang mendokumentasikan temuan mereka.
“Sepengetahuan kami, ini menandai paparan nomor telepon dan data pengguna terkait yang paling luas yang pernah didokumentasikan,” kata Aljosha Judmayer, salah satu peneliti di Universitas Wina yang mengerjakan penelitian ini.
Para peneliti mengatakan mereka memperingatkan Meta tentang temuan mereka pada bulan April dan menghapus salinan 3,5 miliar nomor telepon mereka. Pada bulan Oktober, perusahaan telah memperbaiki masalah pencacahan dengan memberlakukan tindakan “pembatasan jumlah” yang lebih ketat yang mencegah metode penemuan kontak skala besar yang digunakan para peneliti. Namun hingga saat itu, paparan data juga bisa dieksploitasi oleh orang lain dengan menggunakan teknik pengikisan yang sama, tambah Max Günther, peneliti lain dari universitas yang ikut menulis makalah tersebut. “Jika hal ini dapat kita peroleh dengan sangat mudah, orang lain juga dapat melakukan hal yang sama,” katanya.
Dalam sebuah pernyataan kepada WIRED, Meta berterima kasih kepada para peneliti, yang melaporkan penemuan mereka melalui sistem “bug bounty” Meta, dan menggambarkan data yang diekspos sebagai “informasi dasar yang tersedia untuk umum,” karena foto profil dan teks tidak diekspos untuk pengguna yang memilih untuk menjadikannya pribadi. “Kami telah mengerjakan sistem anti-goresan yang terdepan di industri, dan penelitian ini berperan penting dalam pengujian stres dan memastikan kemanjuran pertahanan baru ini,” tulis Nitin Gupta, wakil presiden teknik di WhatsApp. Gupta menambahkan, “Kami tidak menemukan bukti pelaku jahat menyalahgunakan vektor ini. Sebagai pengingat, pesan pengguna tetap bersifat pribadi dan aman berkat enkripsi end-to-end bawaan WhatsApp, dan tidak ada data non-publik yang dapat diakses oleh para peneliti.”
Terlepas dari deskripsi Meta, para peneliti mengatakan mereka tidak mengelak atau bahkan menemukan “pertahanan” apa pun dalam mengumpulkan nomor telepon. Pekerjaan mereka juga bukan pertama kalinya WhatsApp diperingatkan tentang paparan nomor telepon dan data profil terkait. Delapan tahun yang lalu, pada tahun 2017, peneliti Belanda Loran Kloeze menulis a postingan blog menunjukkan bahwa teknik penghitungan nomor telepon dimungkinkan dan dapat digunakan untuk mendapatkan nomor telepon, foto profil, dan juga waktu ketika pengguna sedang online.
Kloeze menggambarkan sebuah skenario di mana paparan data dapat dikombinasikan dengan pengenalan wajah untuk menciptakan database raksasa informasi identitas pribadi. “Itu cukup menakutkan, bukan?” dia menulis. Meta, kemudian Facebook, menanggapi temuannya, dengan alasan bahwa pengaturan privasi WhatsApp masih berfungsi seperti yang dirancang—pengguna dapat memilih untuk membuat informasi profil mereka hanya dapat diakses oleh kontak yang mereka pilih—dan bahkan mengatakan kepadanya bahwa dia tidak memenuhi syarat untuk mendapatkan hadiah bug bounty atas karyanya pada saat itu.
Ketika WIRED bertanya kepada Meta tentang langkah-langkah pembatasan yang diterapkan selama delapan tahun terakhir untuk mencegah teknik yang ditunjukkan Kloeze, perusahaan tersebut menjawab bahwa mereka sebenarnya telah menerapkan pertahanan yang berkembang terhadap scraper, termasuk pembatasan kecepatan dan teknik pembelajaran mesin untuk melarang scraper. Namun para peneliti dari Universitas Wina tidak hanya mampu mereplikasi penelitian Kloeze, namun melangkah lebih jauh, dengan menghitung total 3,5 miliar nomor telepon WhatsApp yang terdaftar—jauh lebih banyak dibandingkan layanan tersebut pada tahun 2017. Mereka juga menjawab argumen WhatsApp tentang pengaturan privasi dengan mengukur berapa banyak pengguna yang mengungkapkan informasi pribadi secara publik di profil mereka, dan mengelompokkan hasilnya berdasarkan negara. Mereka menemukan bahwa 44 persen dari 137 juta nomor telepon Amerika yang mereka kumpulkan menampilkan foto, dan 33 persen menunjukkan teks “tentang” publik, misalnya.
Di negara-negara dimana WhatsApp lebih banyak digunakan, hanya sebagian kecil dari populasi yang mengaktifkan pengaturan privasinya: Di India, dimana para peneliti menghitung hampir 750 juta nomor, 62 persen akun menampilkan foto profil secara publik. Dari 206 juta nomor telepon di Brasil yang mereka temukan, 61 persennya memperlihatkan foto profil mereka.
Peneliti Universitas Wina menemukan masalah penghitungan nomor telepon WhatsApp tahun lalu, ketika mereka menguji apa yang dapat mereka pelajari dari layanan tersebut tentang pengguna meskipun enkripsi pesannya bersifat end-to-end, seperti saat pengguna terhubung dari aplikasi desktop versus aplikasi seluler. Mereka menemukan bahwa aplikasi tersebut tampaknya tidak memiliki perlindungan pembatasan tarif yang jelas, jadi mereka mencoba menghitung semua nomor di AS. “Dalam waktu setengah jam, kami mendapatkan sekitar 30 juta nomor telepon yang berbasis di AS,” kata Gabriel Gegenhuber, salah satu peneliti di Universitas Wina. “Jadi kami agak terkejut. Lalu kami melanjutkan perjalanan.”
Salah satu audiens yang tertarik dengan data nomor telepon yang terekspos, menurut para peneliti, adalah para penipu dan spammer yang mencari database target potensial. Namun para peneliti juga menemukan jutaan nomor telepon yang terdaftar di WhatsApp di negara-negara yang secara resmi melarangnya, termasuk 2,3 juta di Tiongkok dan 1,6 juta di Myanmar. Pemerintah negara-negara tersebut bisa saja menggunakan paparan WhatsApp untuk mengumpulkan angka-angka tersebut dan memburu pengguna aplikasi ilegal, kata para peneliti. Muslim di Tiongkok, menurut beberapa laporantelah ditahan hanya karena memasang WhatsApp di ponsel mereka.
Peneliti Universitas Wina juga menganalisis kunci kriptografi untuk 3,5 miliar akun yang mereka temukan terekspos melalui metode enumerasi, yaitu rangkaian karakter panjang yang digunakan untuk menerima pesan terenkripsi dalam protokol enkripsi ujung ke ujung WhatsApp. Mereka menemukan bahwa sejumlah besar akun menggunakan kunci duplikat—masalah keamanan mengingat siapa pun yang memiliki kunci yang sama dengan pengguna lain juga dapat mendekripsi pesan yang dikirimkan kepada mereka.
Mereka menemukan, beberapa kunci digunakan kembali ratusan kali, dan anehnya 20 nomor AS menggunakan kunci yang semuanya nol. Namun, para peneliti berspekulasi bahwa duplikasi kunci tersebut kemungkinan besar disebabkan oleh klien WhatsApp yang tidak sah, dan bukan karena kelemahan pada WhatsApp itu sendiri. Setelah memeriksa lebih dekat beberapa akun dengan kunci kriptografi berulang, mereka juga menemukan bahwa akun tersebut tampak seperti akun penipu, sehingga menunjukkan bahwa beberapa operasi penipuan yang mengeksploitasi WhatsApp mungkin menggunakan klien dengan fitur enkripsi yang rusak.
Selain kurangnya batasan tarif, para peneliti berpendapat bahwa temuan mereka menunjukkan masalah yang lebih mendasar pada layanan seperti WhatsApp: Nomor telepon, kata mereka, sebenarnya tidak memiliki keacakan yang cukup untuk digunakan sebagai pengidentifikasi unik untuk layanan dengan miliaran pengguna. Hal ini menjadikan pembatasan tarif sebagai satu-satunya tindakan yang tersedia untuk mencegah data pengguna diambil secara massal, dan tindakan yang tidak akan pernah sepenuhnya aman dari kebocoran privasi jika WhatsApp memprioritaskan penemuan kontak yang nyaman bagi pengguna. (WhatsApp sebenarnya telah mulai menguji a fitur nama pengguna dalam versi betayang mungkin menawarkan pendekatan privasi yang lebih baik.)
“Nomor telepon tidak dirancang untuk digunakan sebagai pengidentifikasi rahasia akun, namun dalam praktiknya nomor tersebut digunakan,” kata Judmayer. “Jika Anda memiliki layanan besar yang digunakan oleh lebih dari sepertiga populasi dunia, dan ini adalah mekanisme penemuannya, itu adalah sebuah masalah.”
