Awal Mulanya
Baru baru ini sekelompok peneliti keamanan dari Universitas Wina (Vienna) dan SBA Research mengungkap celah serius di WhatsApp yang memungkinkan “enumerasi” massal nomor telepon penggunanya yaitu, memeriksa satu per satu nomor telepon dalam jumlah besar untuk melihat mana yang terdaftar di WhatsApp. Mereka melaporkan bahwa mereka berhasil mengonfirmasi 3,5 miliar akun WhatsApp aktif dengan teknik ini, sebelum akhirnya Meta (perusahaan induk WhatsApp) menambal celah tersebut.
Bagaimana Celah Terjadi?
Mekanisme “Contact Discovery”
whatsapp punya fitur “penemuan kontak”: ketika pengguna mengunggah buku kontak (address book) mereka, aplikasi akan mengecek kontak mana yang menggunakan WhatsApp.
Tidak Ada Pembatasan Permintaan (Rate Limiting)
peneliti menemukan bahwa mereka bisa mengirim lebih dari 100 juta permintaan nomor per jam, tanpa diblokir. Artinya, mereka bisa menjalankan semacam “brute force” terhadap semua kemungkinan nomor telepon di banyak negara dan mencatat mana yang aktif. Data yang Didapatkan
Dari nomor yang terkonfirmasi, peneliti bisa mengakses :
Foto profil (jika diatur publik) → sekitar 57% dari akun yang mereka enumerasi memiliki foto profil yang bisa diakses.
Teks “About” (profil teks) → sekitar 29% akun menampilkan “about” publik.
Kunci Publik Kriptografi (public keys) dan “timestamp” (waktu) yang terkait akun.
Informasi inferensi tambahan jenis sistem operasi perangkat, umur akun, dan jumlah perangkat terkait (contoh: WhatsApp Web) dapat ditarik dari metadata yang dikumpulkan.
Potensi Risiko dan Dampak
Spam, Phishing, dan Robocall Dengan daftar 3,5 miliar nomor WhatsApp, pelaku jahat bisa menggunakan data ini sebagai basis serangan spam, phishing, atau panggilan palsu karena daftar ini adalah “nomor aktif”.
Privasi dan Identitas
Foto profil + teks “about” bisa digunakan untuk profiling individu. Misalnya, gabungan nomor + foto bisa jadi database identitas yang berbahaya.
Isu Reuse Kunci Kriptografi
Peneliti menemukan kasus di mana beberapa nomor berbagi “kunci identitas kriptografi” yang sama, yang secara teori bisa melemahkan keamanan end-to-end encryption (E2EE) jika dimanfaatkan.
Risiko Global dan Hak Asasi Manusia
Karena WhatsApp banyak digunakan di seluruh dunia, termasuk negara dengan kontrol ketat terhadap komunikasi, celah ini bisa dieksploitasi untuk identifikasi pengguna yang sensitif (misalnya di negara di mana penggunaan WhatsApp bisa berisiko).
Tanggapan Meta atau WhatsApp
Peneliti melaporkan masalah ini ke Meta melalui program bug bounty pada April 2025. Meta menerapkan rate limiting yang lebih ketat untuk mencegah permintaan massal seperti yang digunakan peneliti. Meta menyatakan bahwa data yang diambil peneliti adalah “informasi dasar yang sudah bersifat publik” (seperti profil publik). Meta juga menekankan bahwa pesan pengguna tetap aman, karena enkripsi end to end tetap aktif. Peneliti pun menghapus dataset 3,5 miliar nomor yang mereka kumpulkan agar tidak disalahgunakan.
Pelajaran dan Rekomendasi
Kelemahan Identifikasi Berdasarkan Nomor Telepon
Peneliti menyatakan bahwa menggunakan nomor telepon sebagai “identifier unik” untuk akun besar seperti WhatsApp punya kelemahan fundamental: nomor telepon tidak banyak variasinya (“tidak cukup random”) untuk skala global, sehingga sangat rentan terhadap brute enumeration.
Butuh Mekanisme Tambahan Proteksi Privasi
Rate limiting
Meta sudah memperbaiki ini, tapi perlindungan seperti captcha, throttle requests, atau validasi tambahan bisa dipertimbangkan.
Alternatif identifier
Mungkin WhatsApp bisa menawarkan username selain hanya memakai nomor telepon, agar privasi lebih baik.
Pentingnya Penelitian Keamanan Independen
Kasus ini menegaskan betapa pentingnya riset keamanan dari pihak independen (universitas, lembaga riset), agar platform besar diuji secara kritis.
Kesadaran Pengguna
Pengguna WhatsApp harus sadar
Atur privasi profil
batasi siapa yang bisa melihat foto profil dan “about”. Berhati hati terhadap spam / panggilan mencurigakan, terutama jika nomor mereka mungkin sudah terekspos.
Perbarui aplikasi
pastikan menggunakan versi WhatsApp terbaru, karena perbaikan keamanan bisa ditambahkan melalui update.
Kesimpulan
Celah di WhatsApp ini sangat sederhana dari sudut teknik (“hanya cek nomor + lihat profil publik”), tetapi konsekuensinya sangat besar karena skala eksposurnya dari 3,5 miliar nomor aktif bisa diidentifikasi. Walau Meta sudah memitigasi dengan menambahkan rate limiting, insiden ini memperlihatkan risiko nyata ketika identitas digital (nomor telepon) digunakan secara luas sebagai penentu identitas akun. Untuk pengguna, ini peringatan agar lebih memperhatikan pengaturan privasi dan juga mendorong platform agar lebih inovatif dalam melindungi data penggunanya.
Komentar
Posting Komentar