Onderzoekers uit Wenen hebben 3,5 miljard telefoonnummers achterhaald dankzij het grootste veiligheidslek van WhatsApp in de geschiedenis.
Lees verder na de advertentie.
Veiligheidslek in WhatsApp
Vanwege het veiligheidslek was de volledige ledenlijst van WhatsApp online onbeveiligd beschikbaar. Oostenrijkse onderzoekers konden hierdoor alle telefoonnummers en andere profielgegevens downloaden, en dat bleken meer dan 3,5 miljard accounts te zijn. Gezien dit aantal is het waarschijnlijk het grootste veiligheidslek in WhatsApp aller tijden.
De waarschuwingen die de groep van de Universiteit van Wenen en het Oostenrijkse SBA Research sinds september 2024 naar WhatsApp stuurden, werden bevestigd maar ook al snel weer weggegooid. Pas toen de onderzoekers twee keer een conceptversie indienden van het rapport dat ze wilden publiceren, werd moederbedrijf Meta wakker. In het rapport staat hoeveel WhatsApp-gebruikers er zijn in welk land, hoe ze zijn verdeeld over Android en iOS, hoeveel zakelijke accounts er zijn, en wat het klantverloop is. Ook staan er allerlei persoonlijke gegevens van eindgebruikers in.
Gevoelige informatie
Ongeveer 30 procent van alle gebruikers heeft iets ingevuld in het veld ‘Info’ van hun profiel. Soms staat daar relatief gevoelige informatie. Denk aan politieke opvattingen, seksuele of religieuze geaardheid, bekentenissen van drugsgebruik en drugsdealers die in dit veld reclame maken voor hun assortiment. De onderzoekers uit Wenen vonden daarnaast ook informatie over de werkplek van de gebruiker, maar ook hyperlinks naar profielen op sociale netwerken, Tinder en OnlyFans. Uiteraard stonden er ook e-mailadressen in. Dit is een waar paradijs voor criminelen.
Bovendien gaf het veiligheidslek van WhatsApp het tijdstip van de meest recente wijziging prijs. Van het veld ‘Info’, maar bijvoorbeeld ook van profielfoto’s, die 57 procent van alle WhatsApp-gebruikers wereldwijd heeft geüpload met zichtbaarheid voor iedereen. Door deze gemakkelijke toegankelijkheid van foto’s zou je dus een database kunnen samenstellen die via gezichtsherkenning vaak leidt tot het telefoonnummer en vice versa.
WhatsApp zegt dat het de onderzoekers van de Universiteit van Wenen dankbaar is voor het delen van hun bevindingen omtrent het veiligheidslek. Zij hebben de verzamelde gegevens inmiddels weer verwijderd en volgens WhatsApp is er geen misbruik van gemaakt. Berichten van gebruikers bleven privé dankzij de end-to-end-encryptie van WhatsApp. De onderzoekers hadden geen toegang tot niet-openbare gegevens. Het is dus wel een goed idee om voortaan goed na te denken over welke informatie je openbaar zet in WhatsApp.
