Meta พลาดเปิดช่องโหว่ร้ายแรง อาจทำข้อมูลผู้ใช้ WhatsApp รั่ว 3,500 ล้านรายชื่อ

ใครก็ตามที่ใช้ WhatsApp ควรตกใจ เพราะช่องโหว่ร้ายแรงที่เพิ่งถูกเปิดโปงอาจทำให้ข้อมูลส่วนตัวของคุณตกไปอยู่ในมือคนอื่นโดยไม่รู้ตัว เมื่อทีมนักวิจัยจากมหาวิทยาลัยเวียนนาและ SBA Research ประเทศออสเตรียค้นพบช่องโหว่ในระบบค้นหาเพื่อน (Contact Discovery) ที่ทำให้พวกเขาสามารถกวาดข้อมูลผู้ใช้งาน 3.5 พันล้านบัญชี ทั่วโลกได้สำเร็จ ซึ่งถือเป็นการรั่วไหลข้อมูลครั้งใหญ่ที่สุดที่เคยบันทึกไว้​

ช่องโหว่ที่ซ่อนอยู่ในฟีเจอร์ธรรมดา

จุดอ่อนครั้งนี้ไม่ได้เกิดจากมัลแวร์หรือการโจมตีที่ซับซ้อน แต่กลับมาจากฟีเจอร์พื้นฐานที่ WhatsApp เปิดให้ใช้งานมาตั้งแต่แรก นั่นคือ การค้นหาผู้ใช้ด้วยเบอร์โทรศัพท์ ปัญหาคือ WhatsApp ไม่มีระบบ Rate Limiting (การจำกัดจำนวนคำขอต่อหน่วยเวลา) ที่เข้มงวดพอ ทำให้นักวิจัยสามารถยิงคำสั่งตรวจสอบเบอร์โทรศัพท์ได้มากกว่า 100 ล้านเบอร์ต่อชั่วโมง โดยไม่โดนบล็อกหรือชะลอความเร็ว​

Gabriel Gegenhuber หัวหน้าทีมวิจัยอธิบายว่า “ปกติแล้วระบบไม่ควรตอบสนองต่อคำขอจำนวนมหาศาลในเวลาสั้นๆ โดยเฉพาะเมื่อมาจากแหล่งเดียว พฤติกรรมนี้เปิดเผยช่องโหว่ที่ทำให้เราสามารถส่งคำขอได้แทบไม่จำกัด และทำแผนที่ข้อมูลผู้ใช้ทั่วโลกได้สำเร็จ”

​

ข้อมูลที่หลุดออกไปคืออะไร?

นักวิจัยใช้เครื่องมือที่สร้างขึ้นจากเทคโนโลยี Google libphonenumber ในการสร้างเบอร์โทรศัพท์ทั้งหมด 63 พันล้านเบอร์ แล้วนำมาตรวจสอบกับ WhatsApp ด้วยความเร็ว 7,000 เบอร์ต่อวินาที โดยไม่โดนระงับหรือบล็อกเลย ผลที่ได้คือข้อมูล 3.5 พันล้านบัญชี (มากกว่าที่ WhatsApp เคยประกาศอย่างเป็นทางการว่ามี “มากกว่า 2 พันล้านผู้ใช้”)​

จากข้อมูลที่รวบรวมได้ พบว่า:

• 57% (ราว 2 พันล้านบัญชี) มีรูปโปรไฟล์ที่สาธารณะเห็นได้ โดยสองในสามมีใบหน้าคนชัดเจน ซึ่งสามารถนำไปค้นหาย้อนกลับ (Reverse Search) เพื่อหาข้อมูลเพิ่มเติมได้
• ​29% มีข้อความ “About” ในโปรไฟล์ ซึ่งอาจเปิดเผยข้อมูลละเอียดอ่อน เช่น รสนิยมทางเพศ ความเชื่อทางการเมือง การใช้ยา ลิงก์ไปยัง LinkedIn หรือ Tinder รวมถึงอีเมลที่ใช้ในการทำงาน
• ​เบอร์เจ้าหน้าที่รัฐ: นักวิจัยสามารถเชื่อมโยงเบอร์โทรศัพท์บางหมายเลขกับเจ้าหน้าที่รัฐบาลและทหารได้ด้วย

ภัยคุกคามในประเทศที่แบน WhatsApp

สิ่งที่น่าตกใจคือนักวิจัยพบว่ามีบัญชี WhatsApp หลายล้านบัญชีที่มาจากประเทศที่ห้ามใช้แอปนี้ เช่น จีน (2.3 ล้านเบอร์), เมียนมา (1.6 ล้านเบอร์) และเกาหลีเหนือ ในประเทศเหล่านี้ การใช้ WhatsApp ผิดกฎหมายและอาจถูกจับกุม ควบคุมตัว หรือส่งไปค่ายปรับความคิดได้

​

อันตรายที่ตามมา

แม้จะดูเหมือนเป็นแค่ “ข้อมูลพื้นฐาน” แต่ฐานข้อมูลขนาดนี้อาจถูกใช้ในทางที่ผิด:

• สแปมและฟิชชิ่ง: เบอร์ที่ยืนยันแล้วว่ายังใช้งานอยู่จะถูกใช้เป็นเป้าหมายโจมตีที่แม่นยำ
• ​Robocall: โทรศัพท์อัตโนมัติรบกวนจากระบบคอมพิวเตอร์
• ​การสืบหาตัวตน: รูปโปรไฟล์สามารถนำไปค้นหาย้อนกลับเพื่อหาข้อมูลอื่นๆ ของเหยื่อ

นักวิจัยยังพบว่าจากข้อมูลที่รั่วไหลจาก Facebook เมื่อปี 2021 (533 ล้านบัญชี) ครึ่งหนึ่งของเบอร์โทรศัพท์เหล่านั้นยังใช้งานอยู่บน WhatsApp

​

Meta ตอบสนองช้า แต่แก้ปัญหาได้

ทีมนักวิจัยแจ้งข้อมูลให้ Meta ทราบตั้งแต่เดือนเมษายน 2025 และได้ลบข้อมูลทั้งหมดที่เก็บรวบรวมไว้ก่อนจะเผยแพร่ผลงานวิจัย Meta ใช้เวลาเกือบหนึ่งปีกว่าจะให้ความสำคัญจริงจัง แต่เมื่อตระหนักถึงความร้ายแรงก็ได้ดำเนินการแก้ไขอย่างรวดเร็วในเดือนตุลาคม 2024 โดยเพิ่มระบบ Rate Limiting ที่เข้มงวดขึ้น

​Nitin Gupta รองประธานฝ่ายวิศวกรรมของ WhatsApp กล่าวว่า “เราขอขอบคุณนักวิจัยจากมหาวิทยาลัยเวียนนาสำหรับความร่วมมือและความขยันหมั่นเพียรภายใต้โครงการ Bug Bounty ของเรา เรากำลังพัฒนาระบบป้องกันการ Scraping ที่นำหน้าอุตสาหกรรม และเราไม่พบหลักฐานว่ามีผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่นี้”

ที่มา