کاربران واتساپ در کشور‌هایی از جمله ایران، هند، برزیل و آلمان گزارش داده‌اند که با مشکلات دسترسی غیرمجاز به حساب مواجه بوده‌اند. برخی کاربران اعلام کرده‌اند که بدون دریافت کد تأیید دو مرحله‌ای، از دستگاه‌های ناشناس دیگری وارد حسابشان شده‌‌اند، یا ارسال پیام‌های جعلی، دریافت پیام‌های حاوی لینک‌های فیشینگ با عناوینی مانند «به‌روز‌رسانی امنیتی واتساپ» و گزارش‌هایی هم از ناپدید شدن تاریخچه چت‌ها بدون دخالت کاربر داده‌شده‌است.

بر اساس داده‌های پلتفرم ردیابی شکایات سایبری، حدود ۱۲،۰۰۰ گزارش مرتبط با واتساپ در ۴۸ ساعت گذشته ثبت شده‌است که ۶۵٪ از این گزارش‌ها از کاربران اندروید، ۲۵٪ از iOS و ۱۰٪ از نسخه تحت وب بوده است.همچنین توزیع جغرافیایی حملات به این شرح بوده :هند ۴،۲۰۰ فیشینگ/SIM Swapping، برزیل  ۲،۸۰۰  بدافزار‌های بانکی ، آلمان ۱،۵۰۰ حمله به نسخه تحت وب، ایران ۹۰۰ لینک‌های جعلی فارسی صورت گرفته‌است.

سابقه ادعا‌های متا درباره امنیت واتساپ

متا همواره بر سیستم رمزگذاری(end-to-end) واتساپ به عنوان «غیرقابل نفوذ» تأکید کرده‌است.این اپلیکیشن در آوریل ۲۰۱۶، این رمزگذاری را برای تمام کاربران فعال کرد. «یان گلدبرگ»، یکی از توسعه‌دهندگان این سیستم، گفت: این فناوری حتی به ما هم اجازه دسترسی به محتوای پیام‌ها را نمی‌دهد و کلید‌های رمزگشایی تنها روی دستگاه کاربران ذخیره می‌شوند.

همچنین در  سال ۲۰۲۱، در جریان بحث‌های قانونی درباره لزوم دسترسی دولت‌ها به پیام‌های رمزگذاری شده، مدیر ارشد فناوری واتساپ، در بیانیه‌ای گفت: هرگونه (backdoor) برای نهاد‌های دولتی، امنیت میلیارد‌ها کاربر را به خطر می‌اندازد. واتساپ هرگز چنین کاری نخواهد کرد.

اما سال ۲۰۲۳ شرکت امنیتی سیتیزن لب ادعا کرد یک آسیب‌پذیری در واتساپ کشف کرده که اجازه می‌دهد هکر‌ها با ارسال یک تماس ویدیویی آلوده، کنترل دستگاه کاربر را در دست بگیرند. متا این باگ را تأیید و ظرف ۲۴ ساعت آن را رفع کرد.

 آیا رمزگذاری (end-to-end) شکسته شده است؟

کارشناسان امنیتی توافق دارند که رمزگذاری end-to-end واتساپ هنوز امن است، اما حملات سایبری معمولاً از راه‌های غیرمستقیم مثلا، حمله به نقاط ضعف انسانی، یا ارسال لینک جعلی کاربران را فریب می‌دهند تا اطلاعات حساب خود را وارد کنند. با جعل هویت کاربر نزد اپراتور‌های تلفن، شماره تلفن او را به سیم جدید منتقل می‌کنند و به کد تأیید دسترسی پیدا می‌کنند.

 سوءاستفاده از دستگاه کاربر، بدافزارها، دسترسی فیزیکی، نقص در سیستم‌های جانبی، آسیب‌پذیری در نسخه تحت وب از جمله روش‌های دیگری است که می‌تواند رمزگذاری واتساپ را زیر سوال ببرد. در سال ۲۰۲۲، محققان نشان دادند که اگر کاربر از نسخه وب واتساپ در یک دستگاه آلوده استفاده کند، چت‌ها ممکن است در معرض خطر قرار بگیرند و به تاریخچه چت‌ها دسترسی پیدا شود.

اتفاق هک روز گذشته واتساپ نشان داد، هیچ سیستم رمزگذاری‌ای مصون مطلق نیست و حتی پیشرفته‌ترین فناوری‌ها در برابر خطا‌های انسانی یا حملات هدفمند آسیب‌پذیراند. از طرفی بیش از ۷۰٪ حملات سایبری موفق، ناشی از بی‌احتیاطی کاربران بوده و لازم است کاربران آموزش‌هایی ببینند و متا هم در مواقعی که امنیت این اپلیکیشن و نظایر آن مورد تهدید قرار گرفت بصورت شفاف با کاربران در میان بگذارد.