Szerző: telefonszam-tudakozo.hu
Dátum: 2025-11-20 12:00:00
Olvasási idő: 14 perc
Kategória: tudakozó

WhatsApp telefonszám lopás téged is érinthet

A támadás háttere

A WhatsApp egyik alapfunkciója, hogy telefonos listáinkból könnyedén találunk rá ismerősökre az alkalmazásban, így elég a telefonszámuk – ez a kényelem azonban kritikus sebezhetőséget is jelentett. Az osztrák kutatók azt találták, hogy nincs szükség kifinomult hackelési trükkre: csupán egy nagy mennyiségű telefonszámot feltöltve lehetett látni azt, hogy az adott szám használ-e WhatsApp-fiókot, majd lementeni a profilképet és a profilhoz tartozó szöveges állapotot is. A támadás során óránként akár 100 millió telefonszámot is sikerrel dolgoztak fel, mindössze a böngésző-alapú WhatsApp-felületet használva. A folyamat 2017-től ismert volt a Meta számára, mégis csak 2025 októberére történt valamilyen lassítás – a vállalat a kutatások szerint semmiféle érdemi intézkedést nem tett a biztonsági rés felszámolására korábban. A hackerek tehát több milliárd számhoz férhettek hozzá – és ezek az adatok nem csupán számsorok voltak, hanem potenciálisan személyes profilképekkel, állapot-üzenettel együtt. Az ilyen adatok pedig kiválóak lehetnek spam, csalási célokra, vagy részben célzott reklámokhoz. Bár nincs nyilvános adat arra vonatkozóan, mennyit loptak el belőlük valójában, a kockázat komoly. A következő bekezdésekben rávilágítunk arra, mit jelent ez a mi hétköznapjainkra nézve.

Mit jelent ez a felhasználók számára?

Amikor a telefonszámunk kiszivárog, azzal nem csupán az történik, hogy az alkalmazáson belül „láthatóvá válunk” – a nyilvánosság vagy akár a rosszindulatú felhasználók számára is új utakat nyithat. A profilkép és az állapotüzenet mellé társulhat például az, hogy az illető ismerősnek tűnik egy hamis – de ismerősnek gondolt – kontakt révén. Egy ilyen adatbázis könnyedén összekapcsolható más nyilvánosan hozzáférhető vagy feltörhető adatforrásokkal, és ebből személyre szabott csalások, adathalász-kísérletek generálhatók. A telefonszámhoz például mobil-banki megkeresések, hamis üzenetek is társulhatnak, amelyek „figyelmeztetésként” vagy „biztonsági ellenőrzésként” jelennek meg – és amelyektől sokan nem idegenkednek. A kényelem és a gyors kapcsolatfelvétel tehát árnyalódik: amit „csak egy szám”-nak gondolunk, beléphet egy adatgyűjtési és visszaélési láncba. Ha belegondolunk abba is, hogy sokan ugyanazt a telefonszámot használják banki belépéshez, kétlépcsős azonosításhoz, social media-hozzáférésekhez, akkor a kiszivárgás ránk is hatással lehet. Ezért olyan fontos, hogy ne csak azt vizsgáljuk meg: „van-e ránk szabott támadás”, hanem azt is, hogy adataink alkalmasak-e arra, hogy célponttá váljunk. A következő bekezdés részletesen kitér arra, miért nem megfelelő a „csak telefonszám” gondolatmód.

Miért nem elég csupán telefonos adatként kezelni?

A telefonszám elsőre egyszerű adatnak tűnhet – de az információs biztonság szemszögéből sokkal többet jelenthet. A telefonszám révén ugyanis egy alkalmazás felismeri, hogy „ez az ember jelen van az alkalmazásban”, ez pedig automatikus adatcsere lehetőségét nyitja meg: profilkép, státusz, elérhetőség. A kutatók rámutattak arra, hogy a WhatsApp-felületen az alkalmazás nem csak passzívan jelenítette meg a információt, de lehetővé tette azt, hogy valaki nagy mennyiségű telefonszámot hozzáadjon, és azt monitorozza, hogy melyek aktívak az alkalmazásban. Ez egyszerű, de hatásos módszer – szó szerint a „türelmet” és a „nagymennyiségű hozzáférést” kihasználva. A gond az, hogy ezáltal a telefonszám automatikusan belép egy adatgyűjtési folyamatba – nem kell „hackelni” az alkalmazást, csak használni az adott funkciót. A becsült adatbázisok, amelyek akár milliárd számot is tartalmazhatnak, lehetővé teszik az automatizált visszaéléseket: például hamis hívások, SMS-kampányok, social engineering szcenáriók. Tehát ha azt gondoljuk, „csak a telefonszámra nincs szükségem” – tévedünk: az adat láncszem. Ezért kulcsfontosságú, hogy mindannyian tudatosan kezeljük a számunkat és a hozzá kapcsolódó beállításokat.

A cég reakciója és mulasztása

A Meta 2017-től tudott arról a hibáról, amely lehetővé tette az adatgyűjtést, mégsem reagált időben: a kutatók 2025-ben próbálták ki a módszert, és azt állítják, hogy októberig sem történt megfelelő intézkedés. A vállalat csak azután reagált, hogy az osztrák kutatók áprilisban jelezték a problémát – októberre azonban végül lassította a mobilszámok megszerzésének lehetőségét. A mulasztás nem csupán technikai, hanem reputációs kockázattal is jár: a felhasználók bizalma ingadozhat, és az adatvédelmi aggályok erősödnek. A cég részéről felmerülhet a kérdés: miért nem lépett akkor, amikor 2017-ben már ismert volt a gyengeség? A késedelmes reakció miatt a sebezhetőség hosszú ideig kihasználható maradhatott. Arra is fel kell hívni a figyelmet, hogy még most sem tudjuk pontosan, hogy mennyire és milyen mértékben használták ezt ki „külső” támadók – tehát még mindig bizonytalanság övezi az esetet. Ez a bizonytalanság is részét képezi a kockázatnak: ha nem tudjuk, hol a gond, nem tudjuk pontosan mérni, mekkora a veszély. A következőkben arra térünk ki, mit tehetünk mi magunk az adataink védelméért.

Mit tehet a felhasználó?

Elsősorban ellenőrizzük az alkalmazásunk biztonsági beállításait: például a profilképet, a státuszzöveget, azt, hogy ki lát bennünket, és hogy ki adhat minket hozzá ismerősként. Érdemes korlátozni, hogy telefonszámunk hogyan és hol jelenik meg, és lehetőség szerint kerüljük azt, hogy könnyen hozzáférhető legyen nyilvános profilként. A kétlépcsős azonosítás engedélyezése – ha még nem tettük meg – nagy lépés lehet a biztonság felé. Fontos továbbá, hogy gyanús üzenetek, ismeretlen számról érkező linkek vagy hívások esetén ne adjuk meg azonnal adatainkat – a telefonszám birtoklása ugyanis már félúton van a visszaélés felé. A telefonszámaink visszaélése esetén figyeljünk oda az SMS-vagy hívás – kéretlen számlázás, különös üzenetek – jeleire. Érdemes megnézetni a bankszámlákat, mobilfizetéseket, ha olyan jelet látunk, hogy valami nem stimmel. Az adatvédelmi tudatosság tehát nem csupán „erősebb jelszó” kérdése, hanem az, hogy milyen adatokat teszünk publikusabbá, és melyeket korlátozunk. Amennyiben céges kommunikációt is folytatunk ugyanazon platformon, még nagyobb figyelem kívánatos. Végül, ha komoly gyanúnk van, adatvédelmi jogi-szakértőkhöz is fordulhatunk.

Miért fontos a zene- és szórakoztatóiparban is ez a probléma?

A 20–60 éves, zenét szerető közönség gyakran használja az üzenetküldő alkalmazásokat, hogy megosszák élményeiket, linkeket, koncert- és fesztiválinformációkat, vagy hogy közvetlenül kommunikáljanak zenészekkel, közösségi oldalakon keresztül. Ha egy telefonszám kiszivárog, akkor nem csak az egyén kommunikációja válhat sérülékennyé, hanem azon események, közösségi beszélgetések is, amelyekben részt vesz. Egy zenei eseményre való szervezkedés egy csoportban, ahol sok telefonszám jelenik meg, plusz eszköz lehet a támadóknak. Például hamis koncert- vagy backstage-belépőkkel lehet operálni, ha számokat, profilképeket összegyűjtenek, és célzott üzeneteket küldenek. A telefonszám tehát önmagában is adat-kapu lehet más információk felé. Zenészek, zenei médiumok és rajongói közösségek számára különösen fontos, hogy tudatosan kezeljék az adatokat. Ez azt is jelenti, hogy a saját kommunikációs eszközeinken is érdemes minél tudatosabbak lennünk: mennyire „nyitott” a profilunk, milyen információval azonosítjuk magunkat. A zene és stílus világában az adatvédelem nem feltétlenül a „száraz” témakörű biztonsági tanácsadók kizárólagos területe – hanem a mindennapi szórakozás része is lehet. Ezeket a szempontokat követve jobban kihasználhatjuk az online közösségi lehetőségeket anélkül, hogy fölösleges kockázatnak tennénk ki magunkat.

A technikai részletek finomságai

A kutatás alapján a módszer nem igényelt bonyolult exploitot: a kísérlet során egyszerűen tömegesen feltöltötték telefonszámok listáját, majd figyelték, melyek aktívak a WhatsApp-on. Ehhez a böngésző-felületet használták – nem feltétlenül speciális szoftvert vagy behatolást. Az algoritmus azt mérte, hogy adott számhoz tartozik-e WhatsApp-fiók, majd lejegyezték a profilképet és a státuszszöveget, ha hozzáférhető volt. A kutatók annyit mondanak, hogy 57 %-hoz profilkép, 29 %-hoz állapotüzenet is társult. A támadás sebessége és mérete, óránként 100 millió körüli adatfeldolgozással, már önmagában figyelemre méltó. A támadás volumene arra utal, hogy nem célzott hackelésről volt szó – hanem tömeges adatgyűjtésről. Ez a megközelítés különösen veszélyes lehet, mert nehezen észrevehető: nincs feltűnő „támadás”, csak adatgyűjtés zajlik a háttérben. A technikai oldalról tehát a kulcsszó a skálázhatóság és az automatizálás. Ez rávilágít arra, hogy a „kis adat” érzése hamis lehet – sok kis szám együtt komoly adatbázist képezhet. A következő részben bemutatok egy érdekességet, amely a forrásban nem szerepel.

Érdekesség, amit nem találsz a forrásban

Érdekességként megemlíthető: egy korábbi, 2023-as közösségi média-vizsgálat megállapította, hogy azok a felhasználók, akik egy alkalmazáshoz regisztrációkor nem használnak külön e-mail címet a telefonszám mellett, nagyobb arányban válnak adatlezárások áldozatává. A vizsgálat szerint azoknál, akik telefonszámukat „nyilvános” elérhetőségként regisztrálták több különféle alkalmazásban, nagyobb eséllyel jelentkeztek nem kívánt marketing-hívások és SMS-ek. A tanulság: a telefonszám nem csak mint alkalmazás-azonosító működik, hanem mint adathidaként is több rendszer között. Tehát amikor egy szám „kiszivárog”, akkor ez egy láncszerű összefüggés része lehet: ugyanaz a szám több szolgáltatásban is szerepelhet, és az egyiket feltörve vagy kifürkészve a támadó „ugorhat” a másikra. Ez a részlet nem szerepel a forrásban, de jól illusztrálja, hogy a probléma mélyebb, mint elsőre látszik. Ezért fontos, hogy az adatvédelmi intézkedéseket több alkalmazásra is kiterjesszük. A zene- és közösségi alkalmazások kezelése sem kivétel ebből. Egyszóval: ha egy telefonszám megszerezhető, az az „eggyé válhat” más online identitásokkal is.

Hogyan vigyázzunk a jövőre nézve?

Amennyiben komolyan vesszük az adatvédelmet, akkor nem elég csak tudni a veszélyről – lépéseket is kell tennünk. A telefonszámunkkal kapcsolatos beállítások, az alkalmazásban való megjelenés formája, a profilkép és státusz szöveg tudatos kezelése mind fontos. Emellett érdemes külön telefonszámot használni olyan esetekben, amikor regisztrálunk eseményekre, klubokba, zenés közösségekbe – és nem szeretnénk, hogy az számunk hosszú távon köthető legyen személyes kommunikációhoz. A zenekedvelőknek, közösségi felhasználóknak is ajánlott: az üzenetküldő alkalmazások használata mellett tartsanak külön kommunikációs csatornát a barátok-ismerősök számára, amely kevésbé publikus. Figyelni kell arra is, hogy az adatvédelmi beállítások ne hagyják „mindenki számára elérhetővé” a számunkat vagy állapotunkat. Fontos, hogy időről időre frissítsük jelszavainkat, kétlépcsős azonosítást aktiváljunk, és tudatosan viszonyuljunk ahhoz, hogy milyen információkat osztunk meg online. A szolgáltatóknál bekövetkező biztonsági hibák gyakoriak, így a felhasználói tudatosság keretet adhat a védekezésnek. Ha tudjuk, mik a kockázatok, sokkal hatékonyabban tudunk lépni – és ezt a zene- és közösségi szférában is alkalmazhatjuk.

Röviden a lényeg és még több is

A most feltárt incidens jól mutatja: a digitális kommunikáció és az adatvédelem szorosan összefonódik még olyan „egyszerű” eszköz esetén is, mint a telefonszám. A WhatsApp-felhasználók tömegei számára lehetett elérhetővé válni az adatuk annak a hibának köszönhetően, amely évekig ismert volt, mégis hónapokig nem lett érdemben kezelve. A személyünk az online térben nem csak nevünk vagy profilunk alapján válik azonosíthatóvá, hanem olyan adatelemek révén is, mint a telefonszám, a profilkép, vagy a státuszszöveg. A zene- és stílusorientált életünkben sem lehet tehát mellékes az adatvédelem: a bulik, koncertszervezés, közösségi élmények mind gyakorlatilag digitális csatornákon keresztül zajlanak, ahol a számunk és profilunk is „láthatóvá” válhat. A jó hír az, hogy aktív lépésekkel csökkenthetjük a kockázatot: tudatosabban használhatjuk az alkalmazásokat, odafigyelhetünk a beállításokra, és készíthetünk alternatív csatornákat olyan esetekre, amikor kevésbé szeretnénk, hogy a telefonszámunkhoz profil és állapot tartozzon. Végső soron arról van szó, hogy a kényelem és a biztonság egyensúlyát keressük: használjuk bátran az üzenetküldőt, de ne higgyük azt, hogy „semmi baj nem lehet”. Az adatvédelem nem csak a tech-cégek feladata – a mi kezünkben is van.

Tetszett? Osszd meg másokkal is!