A WhatsAppban felfedezett biztonsági rés miatt kutatók szerint akár 3,5 milliárd felhasználói telefonszám és hozzájuk tartozó profiladat válhatott lekérdezhetővé, ami a történelem egyik legnagyobb adatvédelmi incidensét jelenti. A hiba magyar felhasználókat is érinthet, ezért most különösen fontos az óvatosság, a kétlépcsős azonosítás és az adatvédelmi beállítások átnézése.
Miért veszélyes, ha a telefonszámod az azonosítód?
A WhatsApp az egyik legnépszerűbb üzenetküldő alkalmazás a világon, nagyjából 3,5 milliárd aktív felhasználóval. A regisztráció alapja a telefonszám, a kontaktfelismerés pedig egyszerű: ha elmentesz egy számot a névjegyzékedbe, az app megmondja, hogy az illető használja-e a WhatsAppot, és sok esetben megjeleníti a profilképét és a bemutatkozó szövegét is.
Ez normál esetben kényelmi funkció, de ha valaki ezt a mechanizmust automatizálja, a kényelemből pillanatok alatt tömeges adatkinyerés lesz. A mostani ügy pontosan erről szól: az osztrák kutatók lényegében az összes lehetséges telefonszámot „végigcsörgették” a WhatsApp kontaktkeresőjén, és megnézték, melyik számhoz tartozik fiók.
A magyar sajtóban a történetet sok helyen adatlopásként, „ellopták mind a 3,5 milliárd WhatsApp-felhasználó telefonszámát” narratívával tálalták. A részletek alapján azonban inkább egy extrém módon túlhúzható, de hivatalos funkcióról van szó, amelyet a szolgáltató nem korlátozott megfelelően.
Mi derült ki most? A kutatás lényege
A University of Vienna és az SBA Research biztonsági szakértői a WhatsApp webböngészős kliensén keresztül végeztek automatizált lekérdezéseket. A contact discovery végpontot használták: azt a szolgáltatást, amely normál esetben csak azt mutatja meg, hogy egy megadott szám regisztrált felhasználó-e.
A kutatók azt tapasztalták, hogy a rendszer gyakorlatilag korlátlan számú lekérdezést engedett egy forrásból. Így egy szkripttel össze tudtak kapcsolni több tízmilliárd potenciális telefonszámot a WhatsApp adatbázisával, és végül nagyjából 3,5 milliárd érvényes, regisztrált mobilszámot tudtak azonosítani világszerte.
Nem csak a számokról van szó. A vizsgálat szerint az érintett fiókok jelentős részénél a profilképek és az „About” bemutatkozó szövegek is nyilvánosan lekérdezhetők voltak. A Meta, a WhatsApp tulajdonosa elismerte a problémát, bug bounty keretben kifizette a kutatókat, és 2025 októberére szigorúbb lekérdezési korlátokat vezetett be. A cég szerint nincs bizonyíték rá, hogy rosszindulatú támadók használták volna ki ugyanezt a rést, de a kutatók joggal figyelmeztetnek: ha ők meg tudták csinálni, más is megtehette volna.
Felhasználói hatások: mit kezdhetnek a számoddal?
Első ránézésre egy telefonszám nem tűnik olyan érzékeny adatnak, mint mondjuk egy jelszó vagy egy bankszámlaszám. A gyakorlatban azonban a szám rengeteg támadási forgatókönyv alapja lehet, különösen akkor, ha profilfotóval, névvel és bemutatkozó szöveggel együtt szerepel egy tömegesen kinyerhető adatbázisban.
- Spam és robothívások: ha a támadók tudják, hogy egy szám aktív és WhatsApp-felhasználóhoz tartozik, célzottan küldhetnek rá spamhívásokat vagy üzeneteket.
- Phishing és vishing: a profilkép és a bemutatkozó szöveg alapján könnyebb hitelesnek tűnő, személyre szabott adathalász üzeneteket írni, akár „ismerősnek” tettetve az elkövetőt.
- Szolgáltatói azonosítás: sok helyen még mindig SMS-ben érkező kódokkal azonosítanak, a telefonszám is része lehet jelszó-visszaállítási folyamatoknak, ami növeli a social engineering kockázatát.
- Profil-összefűzés: a számot más platformokon (Facebook, Instagram, Telegram, adatbrókercégek adatbázisaiban) is megtalálhatják, így egyre részletesebb profilt építhetnek rólad.
Fontos hangsúlyozni, hogy a vizsgálat nem érintette az üzenetek tartalmát: a végpontok közötti titkosítás működik, a chatlogok nem szivárogtak ki. A sérülékenység az azonosított fiókok „felszíni” metaadatairól szólt.
Számok és adatok egy helyen
| Legfontosabb paraméter | Érték |
|---|---|
| Érintett WhatsApp-fiókok becsült száma | 3,5 milliárd |
| Nyilvános profilképpel rendelkező fiókok aránya | kb. 57 százalék |
| Nyilvános „About” bemutatkozóval rendelkező fiókok aránya | kb. 29 százalék |
| A hiba nyilvánosságra kerülésének ideje | 2025. november 18–19. |
| A Meta szerint a javítás befejezésének ideje | 2025. október (rate limiting szigorítása) |
Magyar vonatkozás: érintettek lehetnek a hazai számok is
Magyarországon ugyan nem a WhatsApp a domináns üzenetküldő, de így is több százezres, akár milliós nagyságrendű lehet az aktív felhasználók száma. A kutatók országokra lebontva vizsgálták, milyen arányban teszik nyilvánossá az emberek a profilképüket és bemutatkozó szövegüket, és több nagy piacnál kiderült, hogy a többség semmit nem állít át az alapértelmezett, nyitott beállításokon.
Mivel a telefonszámok nemzetközi formátumban viszonylag könnyen azonosíthatók, a magyarországi előhívóval használt mobilok is nagy eséllyel bekerültek a feltérképezett tartományok közé. Konkrét, nyilvános lista arról, hogy mely számok vannak egy esetleges dumpban, nincs, ezért mindenkinek saját elővigyázatosságára kell hagyatkoznia.
Ha magyar felhasználóként az alábbiak közül bármelyik igaz rád, érdemes azonnal lépned:
- Nem használsz kétlépcsős azonosítást a WhatsAppban.
- Profilképed publikusan látható, nem csak a kapcsolataid számára.
- Bemutatkozásként személyes információkat adsz meg, például munkahely, város, elérhetőségek.
- Ugyanazt a telefonszámot több más szolgáltatásnál is azonosítóként, jelszó-visszaállításra használod.
Mit tehetsz most azonnal? Gyakorlati checklist
- Ellenőrizd a WhatsApp beállítások menüben az adatvédelmi opciókat, és állítsd a profilképet, a bemutatkozó szöveget és az utolsó látogatást „Csak kapcsolatok” vagy „Senki” értékre.
- Kapcsold be a kétlépcsős azonosítást, és adj meg egy erős, egyedi PIN-kódot, amelyet nem használsz máshol.
- Légy gyanakvó minden olyan SMS-sel, WhatsApp- vagy Messenger-üzenettel szemben, amely linket tartalmaz, sürget, vagy pénzt kér, különösen akkor, ha ismeretlen számról érkezik.
- Ha bármely más online szolgáltatásnál a telefonszámodra épül a jelszó-visszaállítás, ellenőrizd, hogy ott is be tudsz-e állítani plusz biztonsági réteget, például külön authentikátor appot.
- Nézz rá a mobil-előfizetésedhez kapcsolódó szolgáltatói fiókra is, és állíts be erősebb, egyedi jelszót, mert a SIM-csere és a számátvétel is gyakori támadási irány.
Miért gond, ha a telefonszám az elsődleges azonosító?
A kutatók egyik fő üzenete az, hogy a telefonszámot egyszerűen nem erre tervezték: a számtartomány véges, jól strukturált, így könnyen végigpróbálható. Ha egy szolgáltatás több milliárd embert azonosít pusztán a szám alapján, ott a rate limiting az egyetlen védelmi vonal a tömeges adatkinyeréssel szemben.
A probléma nem új: a WhatsAppot már 2017-ben is figyelmeztették hasonló kockázatokra, de érdemi korlátozások csak most, a kutatás után kerültek be a rendszerbe. A történet így jól mutatja, milyen nehéz egy olyan platformot biztonságban tartani, amely egyszerre akar „varázslatosan egyszerű” és mégis adatvédelmileg erős lenni.
Hosszabb távon sok szakértő azt várja, hogy a nagy chatplatformok a telefonszám helyett vagy mellett felhasználóneveket és álneveket fognak előtérbe helyezni, és a contact discovery is kevésbé lesz „buta brute force-olható” mechanizmus. A WhatsApp már tesztel felhasználónév-funkciót, de az igazi kérdés az, hogy a több milliárd meglévő felhasználót hogyan lehet biztonságosabb modellre átvezetni.
Kilátások: szabályozás, bizalom, következő lépések
Ez az ügy több fronton is következményekkel járhat. Az európai adatvédelmi hatóságok várhatóan vizsgálni fogják, hogy a WhatsApp contact discovery megoldása megfelelt-e a „beépített és alapértelmezett adatvédelem” elvének, hiszen a gyakorlatban a felhasználók jelentős része nem módosította a nyitott, kockázatos beállításokat.
A felhasználói bizalom tekintetében a Meta újabb kellemetlen címlapokat kapott, ami hosszú távon erősítheti az alternatív, privacy-fókuszú chatalkalmazások (Signal, Threema, Matrix-alapú megoldások) pozícióit. Ugyanakkor az ökoszisztéma tehetetlensége óriási: több milliárd embert nem lehet egyik napról a másikra platformot váltásra bírni.
A legvalószínűbb forgatókönyv az, hogy a WhatsApp fokozatosan szigorítja a lekérdezés-szabályokat, bevezet további kihívásokat a gyanús forgalomra, és jobban kommunikálja a felhasználók felé az adatvédelmi beállítások fontosságát. A magyar felhasználóknak pedig marad a klasszikus, de hatékony védekezés: tudatosság, 2FA és minimálisra csökkentett nyilvános lábnyom.
GYIK: gyors válaszok a legfontosabb kérdésekre
- Minden WhatsApp-felhasználó érintett volt?
Nem tudjuk teljes bizonyossággal, de a kutatók szerint a 3,5 milliárd regisztrált szám döntő része lekérdezhető volt. A pontos érintettség felhasználónként nem ellenőrizhető. - Elolvasták az üzeneteimet?
Nem, a vizsgálat a contact discovery végpontra és a nyilvános profiladatokra korlátozódott. Az üzenetek tartalma továbbra is végpontok között titkosított. - Mit tegyek, ha attól félek, hogy a számom dumpban van?
Válts erősebb biztonsági beállításokra, kapcsold be a kétlépcsős azonosítást, állítsd szigorúbbra az adatvédelmi opciókat, és légy különösen óvatos a gyanús üzenetekkel és linkekkel.
