維也納大學研究團隊揭露 WhatsApp 聯絡人搜尋 API 存在重大缺陷,在毫無限制情況下成功列舉全球 35 億個活躍帳號,每小時查詢量突破 1 億筆。雖然研究團隊已負責任地向 Meta 通報並刪除數據,但事件揭示即時通訊平台在保護用戶私隱上的系統性漏洞。核心問題在於 WhatsApp 聯絡人搜尋機制缺乏速率限制(rate limiting),令大規模自動化查詢成為可能,威脅遍及 106 個國家數十億用戶。Meta 已於 2025 年 10 月部署新防護機制,但事件引發業界對 API 安全標準的深度反思。
技術漏洞如何釀成數據災難
研究人員利用 WhatsApp 的 GetDeviceList API 端點進行大規模電話號碼枚舉,該端點原本設計用於讓用戶查詢電話號碼是否註冊 WhatsApp 帳號。維也納大學與 SBA Research 團隊僅使用一部大學伺服器和五個認證會話,就在無任何阻攔下測試 630 億個潛在手機號碼。更令人震驚的是,WhatsApp 系統從未封鎖這些帳號、從未限制 IP 地址流量,甚至從未主動聯繫查證,整個過程如入無人之境。
研究進一步串接 GetUserInfo、GetPrekeys 和 FetchPicture 等 API 端點,成功下載 7,700 萬張美國用戶的個人相片,其中 57% 全球用戶頭像和 29% 的「關於」個人簡介被完整擷取。這些數據包含可識別臉孔的相片、個人描述文字,甚至連結到其他社群媒體帳號的資訊。維也納大學研究員 Maximilian Günther 表示:「我們的數據集若外洩,將成為歷史上最大規模的數據外洩事件。」
企業安全長必知的三大警訊
警訊一:API 速率限制形同虛設。資安專家指出 2025 年 API 濫用已成為最常見攻擊向量,但許多企業仍未建立有效防護機制。專業 API 安全平台 Orq.ai 最新報告顯示,99% 組織在過去 12 個月內遭遇至少一次 API 安全事件。WhatsApp 案例證明,即使是擁有 20 億用戶的全球平台,也可能在基礎防護上存在致命缺口。
警訊二:歷史數據外洩持續發威。研究團隊將 35 億筆 WhatsApp 號碼與 2021 年 Facebook 的 5.33 億筆外洩數據交叉比對,發現 58% Facebook 外洩號碼在 2025 年仍活躍於 WhatsApp。這意味一次數據外洩的影響可能延續數年,成為後續攻擊跳板。資安情報公司 Hudson Rock 創辦人 Alon Gal 警告:「這種規模的資料庫將被惡意行為者用於社交工程攻擊和黑客行動。」
警訊三:地緣政治敏感地區暴露。研究揭露數百萬個活躍帳號位於 WhatsApp 被禁用國家,包括中國、伊朗、北韓和緬甸。印度以 7.49 億用戶居冠,印尼 2.35 億、巴西 2.06 億緊隨其後。這些數據除了揭示全球即時通訊生態,也可能成為國家安全層級的情報來源。
從 Facebook 到 WhatsApp:Meta 的 API 防護困境
這並非 Meta 首次因 API 缺陷付出代價。2021 年,黑客利用 Facebook「新增好友」功能漏洞,透過上傳聯絡人名單進行大規模枚舉,外洩 5.33 億用戶電話號碼、Facebook ID、姓名和性別。愛爾蘭資料保護委員會(DPC)為此對 Meta 開罰 2.65 億歐元(約港幣 22.5 億元)。2025 年,Twitter 5,400 萬帳號、Dell 4,900 萬客戶紀錄也因類似手法遭竊。
Meta 工程副總裁 Nitin Gupta 回應表示:「我們感謝研究人員透過漏洞獎勵計劃合作,這項研究協助我們測試新一代反爬蟲系統的即時效能。」Meta 強調被擷取資料屬於「基本公開資訊」,且端對端加密的訊息內容並未受影響。然而維也納大學資深研究員 Aljosha Judmayer 反駁:「端對端加密保護訊息內容,但無法保護相關元數據(metadata)。我們的研究證明,大規模收集和分析這些元數據同樣構成嚴重私隱風險。」
從技術角度,業界建議企業實施分層存取控制(tiered access levels)、動態速率調整(dynamic rate limiting)和時間戳記錄(time-stamped logs)來監控異常流量。Gartner 預測到 2025 年底,API 濫用將成為最主要攻擊媒介,突顯即時監控與機械學習辨識的重要性。
監管壓力下的數據保護新常態
歐盟《一般資料保護規則》(GDPR)已對 Meta 開出多張罰單。2023 年 1 月,愛爾蘭 DPC 因 Meta 在 Facebook 和 Instagram 服務上使用不當法律依據處理個人資料,分別罰款 2.1 億歐元(約港幣 17.8 億元)和 1.8 億歐元(約港幣 15.3 億元)。2024 年 10 月,Meta 再因以明文儲存用戶密碼被罰 9,100 萬歐元(約港幣 7.7 億元)。這些案例顯示監管機構對平台業者的數據保護要求日益嚴格,「數據最小化」(data minimization)和「預設私隱」(privacy by design)已成為合規基本門檻。
研究團隊已於 2025 年 4 月向 Meta 通報漏洞,並在發表前刪除所有收集數據。Meta 隨後在 10 月部署速率限制機制,將訊息限制升級時間從 24 小時縮短至 6 小時,並改採「投資組合層級」(portfolio-based)管理方式。這項研究完整論文將於 2026 年在「網絡與分散式系統安全研討會」(NDSS)發表。
企業數碼轉型下的資安投資新思維
對於正在推動數碼轉型的企業而言,這宗事件提供三個關鍵啟示。首先,API 安全不再是技術團隊專屬議題,而是董事會層級風險管理項目。根據 2025 年 API 安全報告,63% 的 API 相關資料外洩涉及「過度數據暴露」(excessive data exposure),顯示開發階段的安全審查至關重要。其次,傳統邊界防護已不足以應對 API 時代威脅,企業需要建立包含發現(discovery)、存取控制(access control)和持續監控的多層防禦體系。第三,隨著生成式 AI 工具普及,「影子 API」(shadow APIs)和「殭屍 API」(zombie APIs)數量激增,42% 組織在發生安全事件後才發現這些未受管理端點。
WhatsApp 擁有超過 20 億全球用戶,此次研究揭示 35 億帳號數據(包含多裝置用戶和非活躍帳號)代表幾乎涵蓋所有可能的手機號碼組合。隨著 5G 和物聯網(IoT)裝置普及,電話號碼作為身份識別工具價值持續攀升,黑客將更積極利用 API 漏洞進行大規模列舉攻擊。企業應重新檢視自身 API 安全策略,將「零信任架構」(zero trust architecture)和「API 閘道器」(API gateway)納入標準配置,並定期進行滲透測試與漏洞獎勵計劃。
未來即時通訊平台能否在便利性與私隱保護間取得平衡?當 API 成為數碼經濟基礎設施,誰來為 35 億用戶的數據安全把關?
來源:Wired
