Một lỗ hổng bảo mật đơn giản của WhatsApp đã làm lộ hàng tỷ số điện thoại

Một báo cáo mới từ nhóm nghiên cứu bảo mật tại Đại học Vienna (Áo) vừa vạch trần một lỗ hổng cực kỳ nghiêm trọng, cho thấy WhatsApp đã làm lộ hàng tỷ số điện thoại chỉ thông qua một cơ chế kiểm tra tài khoản tưởng chừng vô hại. Dù vấn đề này đã được Meta, công ty mẹ của WhatsApp, âm thầm khắc phục, nhưng hàng tỷ người dùng vẫn đứng trước nhiều câu hỏi lớn về mức độ an toàn dữ liệu cá nhân và rủi ro bị lạm dụng trong tương lai. Bài viết dưới đây phân tích chi tiết cách thức vụ việc xảy ra, lý do lỗ hổng tồn tại suốt nhiều năm và các biện pháp người dùng cần thực hiện ngay lập tức.

WhatsApp đã làm lộ hàng tỷ số điện thoại chỉ vì lỗ hổng “đơn giản đến đáng sợ” 

Một trong những phần đáng chú ý nhất của vụ việc là mức độ đơn giản trong cách khai thác. Theo báo cáo được công bố, nhóm nghiên cứu người Áo chỉ sử dụng tính năng mặc định của WhatsApp: kiểm tra xem một số điện thoại có đăng ký tài khoản hay không. Trên lý thuyết, tính năng này giúp người dùng tìm bạn bè. Nhưng trên thực tế, nó lại trở thành cánh cửa mở toang để thu thập dữ liệu quy mô lớn.

Bằng cách gửi hàng loạt yêu cầu kiểm tra số điện thoại liên tục mà không gặp bất kỳ giới hạn tốc độ nào, chỉ trong 30 phút, họ truy xuất được 30 triệu số WhatsApp đăng ký tại Mỹ. Mở rộng quy mô, họ đã thu thập được 3,5 tỷ số điện thoại trên toàn cầu và điều đó diễn ra mà không bị hệ thống ghi nhận hay ngăn chặn.

Sự cố một lần nữa cho thấy WhatsApp đã làm lộ hàng tỷ số điện thoại không phải qua một vụ tấn công tinh vi, mà đơn giản vì thiếu cơ chế chống lạm dụng phù hợp.

Đáng lo ngại hơn, khoảng 57% người dùng để ảnh đại diện ở chế độ công khai và 29% để trạng thái (bio) công khai. Điều đó giúp kẻ xấu dễ dàng thu thập thêm ảnh và thông tin cá nhân kèm theo số điện thoại.

Tại sao Meta biết WhatsApp đã làm lộ hàng tỷ số điện thoại từ năm 2017 nhưng không khắc phục ngay?

Một chi tiết gây sốc khác: Meta đã biết về vấn đề này từ năm 2017, khi một nhóm nghiên cứu khác từng báo cáo lỗ hổng tương tự. Tuy nhiên, suốt nhiều năm liền, công ty không triển khai biện pháp hạn chế tốc độ (rate limiting) để ngăn quét hàng loạt.

Việc chậm trễ xử lý khiến các chuyên gia đặt câu hỏi:

• Meta coi nhẹ mức độ nghiêm trọng của nguy cơ?
• Hay tính năng tìm kiếm theo số bị xem là phù hợp với mục tiêu phát triển nền tảng?
• Liệu dữ liệu người dùng đang bị xem nhẹ trong các ứng dụng thuộc hệ sinh thái Meta?

Chỉ đến tháng 4/2025, khi nhóm nghiên cứu Áo công khai phát hiện của mình, Meta mới bắt đầu xem xét lại. Tới tháng 10/2025, cơ chế giới hạn tốc độ mới chính thức được áp dụng, ngăn chặn khả năng quét dữ liệu hàng loạt.

Nhiều chuyên gia bảo mật nhận định việc trì hoãn xử lý là không thể chấp nhận được, nhất là với một dịch vụ có hơn 2 tỷ người dùng toàn cầu. Và điều này càng củng cố lý do vì sao người dùng nên kiểm soát chặt chẽ cài đặt riêng tư.

Nguy cơ nào cho người dùng khi số điện thoại bị lộ hàng loạt?

Việc WhatsApp đã làm lộ hàng tỷ số điện thoại không chỉ là một sự cố mang tính lý thuyết. Số điện thoại cá nhân, khi rơi vào tay kẻ xấu, có thể bị khai thác cho nhiều mục đích:

• Tấn công lừa đảo (phishing & smishing)

Kẻ gian có thể gửi tin nhắn mạo danh ngân hàng, ví điện tử hoặc cơ quan nhà nước. Số điện thoại thật tạo cảm giác tin cậy và tăng khả năng nạn nhân sập bẫy.

• Lạm dụng ảnh đại diện để nhận diện khuôn mặt

Nếu người dùng để ảnh chân dung, kẻ xấu có thể khai thác cho công nghệ nhận diện gương mặt hoặc làm giả danh tính.

• Tiếp thị không mong muốn

Các công ty chợ đen dữ liệu thường mua lại số điện thoại để thực hiện cuộc gọi quảng cáo quy mô lớn.

• Rủi ro đe dọa nhắm mục tiêu cá nhân

Các nhóm tấn công có thể dùng số điện thoại để dò mật khẩu, tấn công SIM swap hoặc truy vết danh tính trên mạng xã hội.

• Ghép nối dữ liệu từ nhiều nguồn

Nếu ảnh, tên hiển thị và trạng thái đều công khai, kẻ xấu có thể xây dựng hồ sơ chi tiết về người dùng.

Đây chính là lý do vì sao các chuyên gia cho rằng việc lộ số điện thoại dù chỉ là “metadata” cũng gây hậu quả lớn hơn nhiều so với tưởng tượng.

Người dùng cần làm gì để tự bảo vệ mình ngay bây giờ?

Mặc dù Meta đã sửa lỗi, nhưng người dùng vẫn nên chủ động tăng cường bảo mật vì phần dữ liệu bị lộ đã tồn tại nhiều năm.

1. Thay đổi quyền riêng tư của ảnh đại diện

Cài đặt → Quyền riêng tư → Ảnh đại diện → Chỉ danh bạ
Tránh để ảnh công khai cho “Mọi người”.

2. Tắt hiển thị thông tin giới thiệu (About)

Nhiều người để lại tiểu sử dễ đoán (vd: năm sinh), tăng nguy cơ bị khai thác.

3. Bật xác thực hai lớp (2FA)

Ngăn chặn tấn công chiếm quyền tài khoản.

4. Thận trọng với tin nhắn lạ

Đề phòng tin nhắn yêu cầu cung cấp mã OTP, mật khẩu, hoặc đường link lạ.

5. Kiểm tra lịch sử đăng nhập

Trong Cài đặt → Tài khoản → Xác minh thiết bị.

6. Cân nhắc dùng ứng dụng nhắn tin bảo mật hơn

Signal, chẳng hạn, đã có giới hạn tốc độ từ lâu và thu thập dữ liệu tối thiểu.

Các biện pháp này không chỉ giúp giảm tác động từ việc lộ số điện thoại, mà còn tăng cường khả năng bảo vệ dữ liệu cá nhân trong tương lai.

Vụ việc WhatsApp đã làm lộ hàng tỷ số điện thoại một lần nữa nhấn mạnh tầm quan trọng của bảo mật dữ liệu trong thời đại số. Người dùng không thể kiểm soát cách các nền tảng xử lý dữ liệu, nhưng có thể chủ động bảo vệ mình bằng cách siết chặt cài đặt quyền riêng tư, cảnh giác với các tình huống lừa đảo và xem xét lựa chọn các dịch vụ bảo mật tốt hơn.

Tạm kết

Trên đây là bài viết thông tin Một lỗ hổng bảo mật đơn giản của WhatsApp đã làm lộ hàng tỷ số điện thoại. Hãy theo dõi trang tin tức Hoàng Hà Mobile để cập nhật những thông tin công nghệ mới nhất nhé. Và đừng quên truy cập kênh YouTube Hoàng Hà Channel để cập nhật nhiều hơn những tin tức công nghệ nóng hổi.

Theo phonearena