美國及歐洲多間科技媒體近日披露,奧地利研究團隊揭示WhatsApp存在多年漏洞,被指可在短時間內「枚舉」全球逾35億個帳號,引起廣泛關注。
研究團隊用改版客戶端枚舉帳號
事件源於奧地利維也納大學(University of Vienna)及 SBA Research 發佈的技術報告。團隊指,他們於2024年12月至2025年4月期間,透過修改版WhatsApp客戶端,以系統化方式驗證全球245 個國家或地區的電話號碼是否註冊 WhatsApp,並取得對應帳戶的公開資料。
研究指,WhatsApp 只要輸入組合號碼,系統便會回應該電話是否為有效帳號,並顯示公開個人檔案照片與文字。團隊聲稱,最終成功枚舉約3.5億個活躍帳號,並取得 57%用戶的大頭照及 29% 的自我介紹文字。
🛑 WhatsApp Security Flaw!!!
— DealBee Deals (@DealBeeOfficial) November 20, 2025
A massive flaw exposed data of 3.5 BILLION users, phone numbers + profile photos leaked worldwide.
- Scraped via contact-lookup loophole.
- 57% users had profile pics exposed.
- Chats remain encrypted (thankfully). pic.twitter.com/cqez30DrH1
研究:每小時可驗證逾一億個帳戶
據外媒《WIRED》報道,研究人員表示改版客戶端不需特別權限,只是模仿一般用戶新增聯絡人的動作,但以自動化方式大量提交測試電話號碼。團隊甚至指出,每小時可確認超過 一億個活躍帳號,規模遠超一般用戶想像。
Researchers have scraped the personal data and images of 3.5 billion WhatsApp users in what's claimed to be the 'largest data leak in history' https://t.co/lrtj5GfzKj
— PC Gamer (@pcgamer) November 20, 2025
團隊形容,整個枚舉過程是屬於 WhatsApp 長期存在的結構性弱點,早在 2017 年已有研究者提醒母公司Meta,但未見實質修補。
सिक्योरिटी रिसचर्स ने खुलासा किया है कि WhatsApp में मौजूद एक फ्लॉ / बग के कारण हाल तक ऐप दुनियाभर के अरबों यूजर्स के फोन नंबर और प्रोफाइल फोटो लीक कर रहा था, पुरी खबर 👇🏻https://t.co/GSewaZZvKP#WhatsApp #TrendingNow #HindiNews pic.twitter.com/uv3r4dpFic
— Webdunia Hindi (@WebduniaHindi) November 19, 2025
Meta稱資料屬「公開資訊」並已限流
多家科技媒體引述 Meta回應,指研究團隊取得的資訊屬於 WhatsApp 用戶自行設定的公開資料,並無涉及非公開或私人內容。Meta 又表示,未發現惡意攻擊者濫用相關漏洞,但已於今年 10 月實施限流措施以減低批量查詢速度。
研究團隊亦強調,他們將過程中獲得的資料全部刪除,並已向 WhatsApp 提交負責任披露。
奧地利研究團隊揭示 WhatsApp 長期存在弱點,可透過改版客戶端在數月內批量驗證全球逾 3.5 億個帳號的公開資料。WhatsApp圖片
