3,5 Miliar Data Akun WhatsApp Berpotensi Bocor, Peneliti Ungkap Celah Serius di Sistem Keamanan
Foto: Unsplash
Reporter : Abidah
Temuan ini menunjukkan perlunya pengawasan keamanan berkelanjutan pada aplikasi komunikasi yang dipakai miliaran orang.
DREAM.CO.ID – Tim peneliti keamanan siber dari University of Vienna dan SBA Research mengungkap adanya kelemahan serius dalam fitur pencarian kontak WhatsApp yang memungkinkan miliaran nomor telepon pengguna dipetakan secara massal.
Dalam studi yang yang berjudul Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy dan akan dipresentasikan di NDSS Symposium 2026, peneliti menunjukkan bahwa fitur pencarian kontak WhatsApp dapat dimanfaatkan untuk mengecek lebih dari 100 juta nomor telepon setiap jam. Dengan teknik tersebut, mereka berhasil memetakan 3,5 miliar akun aktif dari 245 negara.
WhatsApp memeriksa daftar kontak pengguna untuk mengetahui apakah sebuah nomor terdaftar di aplikasi. Namun, menurut peneliti, sistem ini tetap memberikan respons meski mendapat permintaan dalam jumlah sangat besar tanpa perlindungan yang cukup.
“Normalnya, sebuah sistem tidak boleh merespons permintaan dalam jumlah ekstrem dalam waktu singkat, apalagi jika berasal dari satu sumber,” kata penulis utama, Gabriel Gegenhuber, melalui keterangan tertulisnya. Ia menjelaskan bahwa kelemahan tersebut memungkinkan permintaan dikirim tanpa batas, sehingga data pengguna bisa dipetakan secara global.
Dengan memanfaatkan API XMPP WhatsApp yang direkayasa balik, tim dapat mengakses data publik yang terkait dengan nomor telepon, seperti public keys, timestamp, about text, dan foto profil jika diset sebagai publik. Dari kumpulan data ini, peneliti juga dapat mengetahui sistem operasi perangkat, usia akun, hingga jumlah perangkat pendamping (companion devices).
Penelitian itu juga menemukan jutaan akun aktif di negara-negara yang melarang WhatsApp, seperti China, Iran, dan Myanmar. Di Iran saja, lebih dari 59 juta akun terdeteksi aktif meskipun aplikasi tersebut masih diblokir hingga akhir 2024.
Peneliti menyebut hal tersebut menunjukkan bahwa WhatsApp tetap digunakan luas meskipun berada di bawah pembatasan pemerintah.
Penelitian ini juga menemukan kejanggalan pada kunci kriptografi. Ribuan kasus penggunaan ulang kunci X25519 ditemukan, bahkan beberapa muncul ratusan kali di perangkat berbeda. Ini menjadi indikasi kuat adanya penggunaan aplikasi WhatsApp tidak resmi atau praktik penipuan.
Dalam kasus ekstrem, peneliti menemukan penggunaan kunci privat “all-zero”, yang menandakan adanya masalah pada generator angka acak atau kesalahan pada perangkat lunak pihak ketiga.
Peneliti kemudian membandingkan hasil temuan mereka dengan Facebook scraping leak 2021 yang berisi 500 juta nomor telepon. Hampir separuh nomor yang bocor enam tahun lalu ternyata masih aktif di WhatsApp. Temuan ini menunjukkan bahwa data yang pernah bocor tetap berisiko disalahgunakan untuk penipuan, robocall, atau pencurian identitas.
Mereka juga memperlihatkan bagaimana foto profil publik dapat digunakan untuk membuat layanan pencarian berbasis wajah yang dapat menghubungkan identitas seseorang dengan nomor teleponnya.
Meta memastikan bahwa celah tersebut telah diperbaiki setelah menerima laporan resmi dari para peneliti. Nitin Gupta, Wakil Presiden Engineering WhatsApp, mengatakan bahwa kolaborasi tersebut membantu memperkuat sistem anti-scraping yang sedang dikembangkan perusahaan.
Ia menjelaskan bahwa tidak ada pesan pengguna yang terpengaruh dan tidak ditemukan bukti bahwa celah tersebut pernah digunakan pihak jahat. “Enkripsi end-to-end tetap melindungi isi pesan,” ujarnya.
Para peneliti menegaskan bahwa temuan ini menunjukkan perlunya pengawasan keamanan berkelanjutan pada aplikasi komunikasi yang dipakai miliaran orang. Mereka menilai transparansi dan pengujian independen sangat penting untuk menjaga keamanan data pengguna, terutama pada platform yang sangat tersentralisasi.