नई दिल्ली, व्हाट्सएप में एक गंभीर सुरक्षा खामी ने दुनिया भर के 3.5 अरब यूजर्स के फोन नंबरों को उजागर कर दिया है, जिसे अब तक का सबसे बड़ा डेटा लीक माना जा रहा है। चिंताजनक बात यह है कि मेटा (फेसबुक) को 2017 से इस कमजोरी की चेतावनी दी जा रही थी, लेकिन इसे ठीक करने में आठ साल लग गए।
इस खामी ने न केवल फोन नंबर बल्कि प्रोफाइल फोटो, स्टेटस और निजी जानकारी तक पहुंच संभव बना दी। ऑस्ट्रियाई शोधकर्ताओं ने इस चूक का फायदा उठाकर करोड़ों सक्रिय व्हाट्सएप नंबरों को स्कैन कर निकाला, जिससे करोड़ों यूजर्स की गोपनीयता खतरे में पड़ गई है।
क्या थी व्हाट्सएप में सुरक्षा खामी?
यह खामी व्हाट्सएप के कॉन्टैक्ट डिस्कवरी फीचर में थी। यह फीचर यूजर्स को किसी भी फोन नंबर को ऐप में सर्च करने पर यह बताता है कि वह नंबर व्हाट्सएप पर मौजूद है या नहीं। इसके साथ ही, ऐप उस नंबर की प्रोफाइल फोटो और स्टेटस टेक्स्ट जैसी सार्वजनिक जानकारी भी दिखा देता था। यूनिवर्सिटी ऑफ वियना के सिक्योरिटी रिसर्चरों ने इस फीचर का फायदा उठाया। उन्होंने ‘libphonegen’ टूल का इस्तेमाल करके 245 देशों के वास्तविक फोन नंबर जनरेट किए और व्हाट्सएप के XMPP प्रोटोकॉल का उपयोग करके 63 अरब संभावित नंबरों को स्कैन किया, जिससे 3.5 अरब सक्रिय व्हाट्सएप नंबरों का पता चला। यह प्रक्रिया 100 मिलियन नंबर प्रति घंटे की गति से की गई।
लीक हुई जानकारी में क्या-क्या शामिल था?
शोधकर्ताओं के अनुसार, उन्होंने 56.7% खातों से कई संवेदनशील जानकारियां प्राप्त कीं, जिनमें फोन नंबर, प्रोफाइल फोटो, अबाउट टेक्स्ट, एन्क्रिप्शन की (KEYS), टाइमस्टैम्प और कुछ मामलों में लिंक्ड सोशल प्रोफाइल शामिल थे। सबसे चौंकाने वाली बात यह थी कि 29.3% यूजर्स के ‘About’ सेक्शन में धार्मिक, राजनीतिक या अत्यधिक निजी जानकारी लिखी हुई पाई गई। इसके अतिरिक्त, लगभग 29 लाख खातों में एन्क्रिप्शन की (KEYS) दोहराई गई मिली, जो व्हाट्सएप की सुरक्षित एंड-टू-एंड एन्क्रिप्शन को भी खतरे में डाल सकती है। एक गंभीर उदाहरण में, 20 अमेरिकी नंबरों की एक ही ज़ीरो वाली KEY मिली, जिससे धोखाधड़ी की आशंका बढ़ गई।
मेटा ने अप्रैल 2025 में इस रिपोर्ट को स्वीकार किया, लेकिन अक्टूबर 2025 में ही एक रेट-लिमिटिंग पैच जारी किया। कंपनी ने अपनी प्रतिक्रिया में कहा कि लीक हुआ अधिकांश डेटा पहले से ही ‘सार्वजनिक’ था, और यूजर्स की चैट्स एंड-टू-एंड एन्क्रिप्शन के कारण सुरक्षित थीं। मेटा ने यह भी दावा किया कि वे अपने एंटी-स्क्रैपिंग सिस्टम को लगातार मजबूत कर रहे हैं। हालांकि, साइबर सुरक्षा विशेषज्ञों का कहना है कि खतरा अभी भी पूरी तरह से टला नहीं है, खासकर व्हाट्सएप बिजनेस अकाउंट्स के लिए। ये अकाउंट्स अक्सर अधिक जानकारी सार्वजनिक रखते हैं, जिससे वे डेटा लीकेज के प्रति अधिक संवेदनशील हो जाते हैं।
इस बड़े डेटा लीक से आम व्हाट्सएप यूजर को कई तरह से नुकसान हो सकता है। उनके फोन नंबर और प्रोफाइल जानकारी का इस्तेमाल फिशिंग हमलों, स्पैम कॉल और मैसेज के लिए किया जा सकता है। चूंकि कई यूजर्स की अबाउट सेक्शन में निजी या राजनीतिक जानकारी थी, इसका दुरुपयोग लक्षित विज्ञापनों, पहचान की चोरी या सामाजिक इंजीनियरिंग हमलों के लिए हो सकता है। एन्क्रिप्शन की का दोहराया जाना चैट्स की सुरक्षा पर भी सवाल खड़े करता है, हालांकि मेटा ने इसे सुरक्षित बताया है। व्हाट्सएप बिजनेस अकाउंट्स अधिक जानकारी सार्वजनिक करने के कारण विशेष रूप से संवेदनशील हैं, जिससे उनके डेटा का दुरुपयोग आसानी से हो सकता है।
