Selular.id – Peneliti keamanan dari Austria berhasil mengungkap kerentanan serius pada WhatsApp yang memungkinkan siapa pun mengambil data miliaran pengguna secara massal. Kerentanan ini memungkinkan ekstraksi nomor telepon untuk seluruh 3,5 miliar pengguna WhatsApp di seluruh dunia, sekaligus mengakses foto profil dan teks status untuk persentase signifikan dari basis pengguna tersebut.
Yang mengejutkan, metode yang digunakan peneliti sama sekali tidak melibatkan teknik peretasan canggih. Mereka hanya memanfaatkan fitur penambahan kontak standar di WhatsApp Web, antarmuka browser layanan pesan instan tersebut. Dengan mencoba menambahkan miliaran nomor telepon secara berurutan, sistem otomatis memberi tahu apakah nomor tersebut terdaftar di WhatsApp dan menampilkan informasi profil terkait.
Tim peneliti mampu memverifikasi sekitar 100 juta nomor telepon per jam pada awal tahun ini. Kecepatan ini dimungkinkan karena WhatsApp, yang berada di bawah naungan Meta, tidak menerapkan pembatasan rate (rate-limiting) untuk mencegah pencarian kontak dalam skala besar. Padahal, perusahaan telah menerima peringatan mengenai masalah ini sejak 2017 dari peneliti lain, namun tidak mengambil tindakan korektif selama bertahun-tahun.
Skala Paparan Data yang Mengkhawatirkan
Dari 3,5 miliar nomor telepon yang berhasil diverifikasi, para peneliti mengungkapkan bahwa sekitar 57% pengguna—setara dengan hampir 2 miliar orang—memiliki foto profil yang dapat diakses. Sementara itu, teks status atau bio di profil terbuka untuk 29% pengguna lainnya. Temuan ini mengkonfirmasi bahwa selama bertahun-tahun, setiap aktor dengan niat jahat berpotensi mengeksploitasi sistem untuk mengumpulkan data pengguna dalam skala masif.
WhatsApp sebenarnya telah menyediakan opsi privasi yang memungkinkan pengguna membatasi siapa yang dapat melihat foto profil dan informasi status mereka. Namun, banyak pengguna yang tidak menyadari atau tidak mengaktifkan pengaturan ini, membuat data mereka rentan terhadap eksposur. Kerentanan ini semakin mengkhawatirkan mengingat WhatsApp sebelumnya juga pernah menghadapi masalah keamanan serius di platform iOS yang memerlukan perbaikan mendesak.
Baca Juga:
Respons Meta dan Implementasi Perbaikan
Setelah diberitahu oleh peneliti Austria pada April 2025, Meta akhirnya mengambil tindakan dengan menerapkan pembatasan rate pada Oktober 2025. Langkah ini secara efektif mencegah upaya pencarian kontak dalam skala besar seperti yang dilakukan para peneliti. Pembatasan rate membatasi jumlah permintaan yang dapat dilakukan dalam periode waktu tertentu, sehingga menyulitkan automasi skala besar.
Dalam pernyataannya, Meta menegaskan bahwa semua data yang terpapar merupakan “informasi dasar yang tersedia untuk publik.” Perusahaan juga menyatakan bahwa foto profil dan teks status tidak terekspos untuk pengguna yang memilih membuat informasi tersebut bersifat privat. Meta mengklaim tidak menemukan bukti aktor jahat yang menyalahgunakan vektor ini, dan menegaskan bahwa para peneliti tidak dapat mengakses data non-publik.
Namun, klaim ini patut dipertanyakan mengingat WhatsApp sering menjadi sarang aktivitas scam dan penipuan online. Kemudahan dalam mengumpulkan data pengguna dalam skala besar tentu dapat dimanfaatkan oleh pelaku kejahatan siber untuk target phishing yang lebih personal dan terarah.
Sejarah menunjukkan bahwa masalah keamanan WhatsApp bukanlah hal baru. Seorang mantan karyawan Meta bahkan pernah menggugat WhatsApp atas kelemahan keamanan yang dianggap fatal, mengindikasikan adanya masalah sistemik dalam penanganan keamanan platform tersebut.
Implikasi bagi Privasi Pengguna
Temuan ini menyoroti dilema antara kemudahan penggunaan dan keamanan privasi dalam layanan pesan instan. Fitur pencarian kontak yang mudah—hanya dengan nomor telepon—memang membuat WhatsApp sangat user-friendly, namun konsekuensi keamanannya signifikan. Selama bertahun-tahun, setiap pengguna WhatsApp secara potensial dapat dilacak hanya dengan mengetahui nomor telepon mereka.
WhatsApp sebenarnya telah berusaha meningkatkan proteksi privasi pengguna, termasuk fitur perlindungan foto profil yang tidak mudah discreenshot. Namun, temuan terbaru ini menunjukkan bahwa perlindungan dasar terhadap scraping data massal justru terlambat diterapkan.
Bagi pengguna biasa, temuan ini seharusnya menjadi pengingat untuk lebih cermat dalam mengatur preferensi privasi di aplikasi WhatsApp. Meskipun Meta telah memperbaiki kerentanan ini, penting bagi pengguna untuk secara proaktif mengatur siapa yang dapat melihat informasi profil mereka, serta waspada terhadap pesan mencurigakan dari nomor tidak dikenal.
Ke depan, pengawasan terhadap praktik keamanan data di platform pesan instan seperti WhatsApp kemungkinan akan semakin ketat. Regulator dan komunitas keamanan siber kini lebih aware terhadap potensi penyalahgunaan fitur-fitur yang seharusnya memudahkan pengguna, namun justru membuka celah keamanan yang dapat dieksploitasi dalam skala masif.
