Kerentanan keamanan kritis di WhatsApp telah mengungkap nomor telepon dan informasi profil terkait lebih dari 3 miliar pengguna di seluruh dunia, sehingga meningkatkan kekhawatiran privasi yang serius bagi aplikasi perpesanan paling populer di dunia. Cacat tersebut, yang ditemukan oleh para peneliti di Universitas Wina dan SBA Research, memungkinkan pelaku kejahatan untuk mengikis data pengguna dalam skala yang belum pernah terjadi sebelumnya.
Cara Kerja Kerentanan
Inti permasalahannya terletak pada mekanisme penemuan kontak WhatsApp. Ketika pengguna memberikan izin kepada aplikasi untuk mengakses buku alamat mereka, WhatsApp mencocokkan nomor-nomor tersebut dengan database pusatnya untuk menunjukkan kontak mana yang juga ada di platform. Namun, proses yang sama dapat dimanfaatkan untuk menghitung nomor telepon, foto profil, dan status “Tentang” secara sistematis tanpa izin.
“Masalah ini menyoroti masalah mendasar pada arsitektur WhatsApp: nomor telepon itu sendiri adalah kerentanannya.” — Marijus Briedis, CTO di NordVPN.
Artinya siapa pun yang memiliki keterampilan teknis dasar berpotensi mengumpulkan miliaran titik data, sehingga memungkinkan serangan yang sangat bertarget, termasuk phishing, peniruan identitas, dan penipuan rekayasa sosial. Kecepatan pengambilan data ini sangat mengkhawatirkan.
Implikasi yang Lebih Luas
Insiden ini menggarisbawahi tren yang lebih luas: risiko yang melekat dalam penggunaan nomor telepon sebagai pengenal pengguna utama. Nomor telepon bersifat publik, permanen, dan mudah terhapus, sehingga tidak cocok untuk autentikasi aman di lingkungan digital modern. Banyak platform yang masih mengandalkan nomor telepon untuk registrasi dan verifikasi, sehingga menciptakan kerentanan sistemik yang dapat dieksploitasi oleh penjahat dunia maya.
Temuan para peneliti, dipublikasikan dalam makalah pracetak berjudul ‘Hei! Anda menggunakan WhatsApp: Menghitung tiga miliar akun untuk keamanan dan privasi’, merupakan pengingat bahwa bahkan platform matang seperti WhatsApp pun tidak kebal terhadap kelemahan desain mendasar.
Tanggapan Meta dan Tuduhan Terbaru
Meta, perusahaan induk WhatsApp, mengklaim telah mengatasi dan memitigasi kerentanan tersebut, dengan menyatakan tidak ada bukti eksploitasi jahat. Perusahaan juga mengakui pengungkapan yang bertanggung jawab oleh para peneliti Universitas Wina di bawah program Bug Bounty.
Namun, hal ini terjadi setelah tuduhan baru-baru ini dari mantan kepala keamanan WhatsApp, Attaullah Baig, yang mengajukan gugatan atas tuduhan kegagalan sistemik dalam menangani pengambilalihan dan peretasan akun, dengan lebih dari 100.000 akun disusupi setiap hari. Klaim Baig menunjukkan bahwa praktik keamanan WhatsApp mungkin lebih longgar daripada yang diketahui publik.
Apa Artinya Bagi Pengguna
Pengungkapan kelemahan ini merupakan peringatan bagi pengguna dan platform. Hal ini menyoroti perlunya metode verifikasi identitas yang lebih kuat selain nomor telepon, seperti pengidentifikasi terdesentralisasi atau otentikasi biometrik.
Pada akhirnya, kejadian ini memperkuat kenyataan bahwa privasi online adalah perjuangan yang berkelanjutan, bukan keadaan yang tetap. Pengguna harus tetap waspada terhadap jejak digital mereka, dan platform harus memprioritaskan langkah-langkah keamanan yang kuat untuk melindungi basis pengguna mereka.
