Berita Terbaru

3,5 Miliar Nomor WhatsApp Bocor, Ini Bahaya bagi Pengguna

Aplikasi WhatsApp

Aplikasi WhatsApp

Kasus kebocoran data kembali mengguncang dunia digital. Kali ini, WhatsApp berada di tengah sorotan. Para peneliti keamanan mengungkap sebuah kerentanan kritis yang membuat nomor telepon 3,5 miliar pengguna dapat terekspos melalui fitur bawaan WhatsApp sendiri. Temuan ini menjadi salah satu kebocoran data terbesar yang pernah tercatat, sekaligus membuka diskusi serius tentang bagaimana raksasa teknologi seperti Meta menjaga privasi penggunanya.

 

Celah Lama yang Diabaikan Bertahun-Tahun

Masalah ini sebenarnya bukan sesuatu yang tiba-tiba muncul. Para peneliti telah memperingatkan Meta sejak 2017 tentang kelemahan pada fitur contact discovery — mekanisme yang digunakan WhatsApp untuk mencari kontak berdasarkan nomor telepon. Sayangnya, butuh waktu delapan tahun bagi Meta untuk menindaklanjutinya secara serius.

Fitur contact discovery bekerja dengan cara memeriksa apakah sebuah nomor ada di WhatsApp. Ketika seseorang memasukkan nomor telepon, aplikasi memberitahukan apakah nomor tersebut aktif, sekaligus menampilkan informasi publik seperti foto profil, status (about), atau detail lain yang diatur ke publik.

Kelemahan besarnya? WhatsApp tidak menerapkan pembatasan kueri (rate limiting) yang ketat. Artinya, sistem dapat dipaksa untuk memeriksa jutaan nomor dalam waktu singkat—dan itulah yang dimanfaatkan para peneliti.

 

Bagaimana Peneliti Mengungkap Kebocoran Massal Ini

Penelitian ini dilakukan oleh tim keamanan dari University of Vienna antara Desember 2024 hingga April 2025. Mereka menggunakan pendekatan yang sangat sistematis dan memanfaatkan perangkat dan protokol WhatsApp sendiri.

Berikut bagaimana mereka melakukannya:

  1. Menghasilkan Miliaran Nomor Telepon Realistis
    Peneliti menggunakan sebuah alat bernama libphonegen, yang dapat membuat nomor telepon valid dari 245 negara. Dengan alat ini, mereka menghasilkan 63 miliar nomor potensial untuk diuji.

  2. Memanfaatkan Protokol XMPP dari WhatsApp
    WhatsApp menggunakan protokol komunikasi bernama XMPP. Dengan mengadaptasi client open-source, peneliti dapat berinteraksi langsung dengan server WhatsApp menggunakan lima akun WhatsApp resmi yang sudah diautentikasi.

  3. Kecepatan Scraping yang Sangat Tinggi
    Tanpa pembatasan berarti, sistem mereka dapat memeriksa lebih dari 100 juta nomor per jam—angka yang mencengangkan untuk platform sebesar WhatsApp.

Hasilnya? Mereka mengonfirmasi bahwa 3,5 miliar nomor aktif di WhatsApp, dan untuk 56,7% akun, mereka berhasil mengumpulkan:

  • status (about)
  • foto profil
  • encryption key
  • timestamp terakhir terlihat

Dengan kata lain, data publik yang seharusnya tersebar acak kini terkumpul rapi dalam satu dataset raksasa, menciptakan potensi risiko keamanan yang sangat besar.

 

Data Sensitif Ikut Terungkap

Dari semua nomor yang teridentifikasi, terdapat temuan yang lebih mengkhawatirkan:

  1. 29,3% Pengguna Mengungkap Info Pribadi di Status
    Banyak pengguna menuliskan informasi yang tampak sepele dalam kolom about, padahal bisa sangat sensitif, misalnya:

    • afiliasi politik
    • keyakinan agama
    • data personal
    • tautan ke media sosial lain
    • lokasi
    • jabatan pekerjaan

    Data semacam ini bisa menjadi celah awal untuk serangan rekayasa sosial (social engineering), phishing, atau penipuan yang lebih berbahaya.

  2. 2,9 Juta Kasus Public Key Reuse
    Lebih mengejutkan lagi, peneliti menemukan 2,9 juta kasus penggunaan ulang public key, termasuk prekeys dan identity keys. Dalam sistem end-to-end encryption, setiap pengguna harus memiliki kombinasi kunci unik.

    Reuse seperti ini dapat merusak integritas enkripsi, terutama jika dieksploitasi melalui aplikasi WhatsApp tidak resmi (unofficial clients).

    Dalam satu contoh ekstrem, ditemukan 20 nomor dari AS yang menggunakan kunci publik bernilai nol semua—indikasi kuat dari:

    • implementasi enkripsi yang rusak, atau
    • potensi penipuan masif.

 

Risiko Lebih Besar untuk Negara dengan Larangan WhatsApp

Di negara seperti China, Iran, dan Korea Utara—di mana WhatsApp diblokir atau diawasi ketat—kebocoran nomor bisa membahayakan warga yang berusaha berkomunikasi secara pribadi. Nomor telepon yang teridentifikasi sebagai pengguna WhatsApp bisa dipakai sebagai bukti aktivitas yang dianggap ilegal oleh otoritas setempat.

Risiko ini membuat temuan ini bukan sekadar masalah privasi, tetapi juga issue keselamatan bagi jutaan pengguna.

 

Respon dari Meta

Meta mengakui temuan ini pada April 2025 melalui program bug bounty mereka. Namun pembaruan signifikan baru dilakukan pada Oktober 2025, delapan tahun setelah peringatan pertama.

Dalam pernyataannya, Nitin Gupta, VP Engineering WhatsApp, mengatakan bahwa:

  • data yang terekspos hanyalah data publik
  • enkripsi pesan tetap aman
  • peneliti membantu melakukan stress test sistem
  • tidak ada bukti bahwa penyerang jahat telah memanfaatkan celah ini

Meski demikian, peneliti menilai bahwa WhatsApp seharusnya jauh lebih protektif, terlebih terhadap aktivitas scraping masif seperti ini.

 

Kebocoran Data Lama Ikut Memperparah Risiko

Yang membuat situasi semakin buruk adalah fakta bahwa data dari penelitian ini tumpang tindih dengan kebocoran lama, misalnya:

  • Kebocoran Facebook 2021: 500 juta nomor telepon
  • Dataset lain yang beredar di forum gelap

Hampir 50% nomor dari leak Facebook 2021 masih aktif di WhatsApp pada 2025. Artinya, pelaku kejahatan bisa menyatukan berbagai sumber data, menciptakan profil lengkap tentang seseorang—mulai dari identitas, lokasi, hingga kebiasaan online.

Ini membuka jalan bagi:

  • penipuan finansial
  • phishing
  • SIM swapping
  • doxxing
  • serangan targeted berdasarkan lokasi atau agama

 

Distribusi Pengguna WhatsApp Global

Berikut daftar 10 negara dengan jumlah akun WhatsApp terbanyak dari total 3,45 miliar pengguna yang berhasil diidentifikasi:

Rank Negara Jumlah Akun Pangsa Global
1 India 749 juta 21,67%
2 Indonesia 235 juta 6,81%
3 Brasil 206 juta 5,99%
4 Amerika Serikat 137 juta 3,99%
5 Rusia 132 juta 3,84%
6 Meksiko 128 juta 3,71%
7 Pakistan 98 juta 2,84%
8 Jerman 74 juta 2,16%
9 Turki 72 juta 2,09%
10 Mesir 69 juta 2,01%

Indonesia berada di posisi kedua, dengan 49,1% pengguna menampilkan foto profil dan 27,5% membiarkan status terbuka untuk publik—angka yang cukup berisiko.

 

Risiko Tidak Hilang Meski Sudah Ditambal

Meta memang telah menambahkan rate-limiting baru, tetapi para ahli menilai risikonya belum sepenuhnya hilang. Terutama karena:

  • 9% akun yang disadap adalah akun bisnis, yang biasanya menampilkan lebih banyak data publik.
  • WhatsApp Business memiliki fitur tambahan (alamat, jam operasional, katalog produk) yang dapat disalahgunakan.
  • Data publik yang sudah terlanjur bocor bisa beredar selamanya di internet.

Selain itu, perusahaan teknologi kadang terlalu optimistis menganggap data publik sebagai “aman”, padahal bila dikumpulkan dalam skala besar, dampaknya jauh lebih berbahaya.

 

Apa yang Harus Dilakukan Pengguna?

Jika kamu menggunakan WhatsApp ada beberapa langkah sederhana tapi penting untuk mengurangi risiko:

  1. Ubah Pengaturan Privasi
    Atur agar hanya kontak yang bisa melihat:

    • foto profil
    • informasi about
    • status
    • last seen

  2. Hapus Informasi Sensitif dari Profil
    Jangan mencantumkan:

    • jabatan pekerjaan
    • nama lengkap
    • lokasi
    • tautan media sosial
    • pandangan politik atau agama

  3. Waspadai Pesan Mencurigakan

    • Setelah kebocoran besar seperti ini, scam biasanya meningkat.

  4. Gunakan Autentikasi Dua Faktor

    • Ini bisa mengurangi risiko SIM swapping atau pengambilalihan akun.

  5. Jangan Gunakan WhatsApp Mod

    • Aplikasi tidak resmi adalah salah satu pintu masuk terbesar untuk eksploitasi data.

Kasus kebocoran 3,5 miliar nomor WhatsApp ini menunjukkan bahwa bahkan platform terbesar sekalipun rentan terhadap bug yang tampak sepele. Fitur sederhana seperti pencarian kontak bisa berubah menjadi kelemahan serius jika tidak dibatasi dan tidak diaudit secara ketat.

Dengan dominasi WhatsApp di banyak negara—termasuk Indonesia—kelemahan ini bukan hanya isu privasi digital, tetapi juga keamanan pribadi.

Meta memang sudah merilis tambalan, tetapi hambatan terbesar bukan pada teknologinya, melainkan bagaimana perusahaan teknologi melihat data pengguna sebagai sesuatu yang “tidak terlalu berbahaya”. Padahal ketika dikumpulkan secara masif, data publik dapat menjadi bahan bakar untuk kejahatan digital.

Pada akhirnya, setiap pengguna harus lebih bijak dalam mengelola jejak digitalnya. WhatsApp tetap aman untuk digunakan, tetapi hanya jika kita memahami risikonya dan menjaga profil kita seaman mungkin.

Bagikan artikel ini
Komentar ()

Berlangganan

Berlangganan newsletter kami dan dapatkan informasi terbaru.

Artikel Terkait

Video Terkait