A Bécsi Egyetem és az SBA Research kutatócsoportja egy 3,5 milliárd aktív WhatsApp-fiókot tartalmazó mobiltelefonszám- és profiladat‑listát tudott összeállítani a platform contact-discovery API-jának nem megfelelő működését kihasználva. A vizsgálat során a kutatók kihasználták, hogy a GetDeviceList végpont nem alkalmazott rate limiting mechanizmust, ami lehetővé tette a nagy mennyiségű, automatizált lekérdezést.
A kutatók az API-t úgy használták, hogy tetszőleges telefonszámokat adtak meg a GetDeviceList végpontnak, amely visszajelezte, hogy a számhoz tartozik-e WhatsApp-fiók, illetve milyen eszközöket használnak. Mivel az API nem korlátozta a lekérdezések sebességét, a kutatócsoport egyetlen egyetemi szerverről, mindössze öt hitelesített API-sessionnel óránként több mint 100 millió számot tudott ellenőrizni. A WhatsApp sem a fiókokat nem blokkolta, sem a forgalmat nem korlátozta, nem tiltotta az IP-címet, és nem kereste meg a kutatókat a rendkívül magas aktivitás ellenére sem.
A kutatók ezt követően 63 milliárd potenciális mobiltelefonszámot generáltak, és mindet tesztelték az API segítségével. A vizsgálat így 3,5 milliárd aktív WhatsApp-fiókot azonosítását tette lehetővé. Az eredmények a WhatsApp globális elterjedtségét is jól szemléltetik: Indiában 749 millió, Indonéziában 235 millió, Brazíliában 206 millió, az Egyesült Államokban 138 millió, Oroszországban 133 millió, Mexikóban pedig 128 millió regisztrált fiókot találtak. Emellett több, a WhatsApp használatát korlátozó országban (Kína, Irán, Észak-Korea, Mianmar) is milliós nagyságrendű aktív felhasználót azonosítottak.
A kutatók a telefonszámok ellenőrzésén túl más API-végpontokat is lekérdeztek (GetUserInfo, GetPrekeys, FetchPicture) amelyek profilképekhez, „about” mezőhöz tartozó nyilvános szövegekhez és eszközspecifikus metaadatokhoz biztosítottak hozzáférést. Egy amerikai teszt során 77 millió profilképet töltöttek le, melyek közül soknál felismerhető volt az arc is, valamint a nyilvános „about” mezők gyakran személyes adatokra vagy más közösségi fiókokra utaló információkat tartalmaztak.
A kutatók jelentették a problémát a WhatsAppnak, amely azóta rate-limiting mechanizmusokat vezetett be az API végpontokra, hogy megakadályozza a hasonló visszaéléseket. Bár a vizsgálatot etikus környezetben végezték, és az adatokat nem tették közzé, a kutatás rávilágít arra, hogy a nem megfelelően védett, nyilvános API-kon keresztül a támadók milyen könnyen gyűjthetnek információkat a felhasználókról.