پیام رسان واتس‌اپ کاربران بسیار زیادی دارد و محققان می گویند شماره تلفن هر کاربر واتس‌اپ، تا همین اواخر، به راحتی توسط هر کسی از جمله هر گروه هکر شروری قابل دسترسی بوده است. این موضوع توسط محققان اتریشی فاش شده که توانستند شماره تلفن همه ۳.۵ میلیارد کاربر واتس‌اپ را استخراج کنند. در مورد حدود ۵۷ درصد از این ۳.۵ میلیارد کاربر، محققان همچنین توانستند به عکس‌های پروفایل آنها و در مورد ۲۹ درصد دیگر به متن نوشته شده در نمایه های آنها دسترسی پیدا کنند.

این محققان سعی کردند میلیاردها شماره را به دستگاه های الکترونیک خود اضافه کنند. این به روشی عادی انجام شده و شما یک شماره اضافه می‌کنید و سپس واتس‌اپ به شما می‌گوید که آیا فردی که از آن شماره استفاده می‌کند حساب کاربری دارد یا خیر و تصویر نمایه و متن حساب کاربری او را به شما نشان می‌دهد. محققان همین کار را فقط در مقیاس وسیع، با استفاده از نسخه تحت وب واتس‌اپ و یک رابط کاربری مبتنی بر مرورگر انجام داده و توانستند اوایل امسال حدود ۱۰۰ میلیون شماره تلفن را در هر ساعت بررسی و استخراج کنند.

به گفته تیم تحقیقاتی اتریشی، فقط نیم ساعت طول کشیده تا نخستین ۳۰ میلیون شماره کاربران آمریکایی جمع‌آوری شود و پس از آن روند به‌سادگی ادامه یافته است. این نشان می‌دهد میزان آسیب‌پذیری چقدر جدی بوده است.

علاوه‌بر خود شماره تلفن‌ها، اطلاعات جانبی دیگری نیز در دسترس قرار گرفت. طبق یافته‌های این تیم تحقیقاتی، عکس پروفایل  ۵۷ درصد کاربران  برای عموم قابل مشاهده بود.  ۲۹ درصد کاربران  نیز متن بخش About یا بیوگرافی‌شان در دسترس بود. اگرچه محققان پس از پایان پروژه این دیتابیس بزرگ را پاک کردند، اما این حجم از داده می‌توانست خوراک بزرگی برای کلاهبرداران و اسپمرها باشد.

یک پژوهشگر امنیتی از سال ۲۰۱۷ این حفره را به واتساپ گزارش کرده بود، اما شرکت متا هیچ اقدام موثری در این‌باره انجام نداد.

پیش از این، عطاالله بیگ، که از سال ۲۰۲۱ تا ۲۰۲۵ به عنوان رئیس امنیت واتس‌اپ خدمت می‌کرد، در شکایتی مدعی شد که تقریبا ۱۵۰۰ مهندس بدون نظارت مناسب، به داده‌های کاربران دسترسی نامحدود داشته‌اند و این امر احتمالا نقض حکم دولت آمریکا در سال ۲۰۲۰ است که جریمه‌ای پنج میلیارد دلاری را برای «متا»، شرکت مادر این پیام‌رسان وضع کرده بود.

در این دادخواست که در دادگاه فدرال سانفرانسیسکو ثبت شده، ادعا شده که «متا» در اجرای اقدامات اولیه امنیت سایبری، از جمله مدیریت مناسب داده‌ها و قابلیت‌های تشخیص نقض، کوتاهی کرده است.

طبق این شکایت ۱۱۵ صفحه‌ای، بیگ از طریق آزمایش‌های امنیتی داخلی متوجه شده است که مهندسان واتس‌اپ می‌توانند داده‌های کاربران از جمله اطلاعات تماس، نشانی‌های آی‌پی و عکس‌های پروفایل را بدون ردیابی یا حسابرسی، جابجا یا سرقت کنند. در این دادخواست ادعا شده است که بیگ بارها نگرانی‌های خود را با مدیران ارشد، از جمله ویل کاتکارت، رئیس واتس‌اپ و مارک زاکربرگ، مدیرعامل «متا»، مطرح کرده است.

بنا بر ادعای بیگ، پس از گزارش‌های اولیه‌ در سال ۲۰۲۱، او با انتقام‌جویی‌های فزاینده‌ای از جمله بررسی‌های منفی عملکرد، هشدارهای شفاهی و در نهایت اخراج در فوریه سال ۲۰۲۵ به دلیل ادعای «عملکرد ضعیف» مواجه شده است.

او در این دادخواست همچنین مدعی شد که «متا» مانع از اجرای ویژگی‌های امنیتی شده است که برای رسیدگی به تصاحب حساب‌ها در نظر گرفته شده بود و روزانه حدود ۱۰۰ هزار کاربر واتس‌اپ را تحت تاثیر قرار می‌داد و در عوض اولویت را به رشد کاربران داده است.