WhatsApp, wereldwijd de grootste chatapp, blijkt jarenlang een ernstige privacykwetsbaarheid te hebben gehad. Onderzoekers uit Oostenrijk konden door een fout in de software persoonsgegevens van meer dan 3,5 miljard accounts verzamelen. Ze spreken zelf van “mogelijk het grootste datalek ooit”, al gaat het niet om berichtinhoud, maar om gevoelige metadata.
Persoonsgegevens
Het lek zat in een ogenschijnlijk simpele functie: WhatsApp controleert of een ingevoerd telefoonnummer bestaat. Die check bleek door middel van enumeratie massaal misbruikbaar. De kwetsbaarheid maakte het mogelijk om geautomatiseerd gigantische aantallen telefoonnummers te testen en vast te stellen of ze gekoppeld zijn aan een WhatsApp-account. Daarbij werden meteen profielnamen, profielfoto’s en profielteksten zichtbaar.
Van simpele bug naar massale dataverzameling
De onderzoekers van The Internet Society ontwikkelden een tool die nummers genereert op basis van geldige telefoonformaten. Zo konden ze ruim 100 miljoen accounts per uur controleren. Uiteindelijk bevestigden ze 3,5 miljard accounts. Daarvan:
- bevatte 57 procent een profielfoto
- bevatte 29 procent een profieltekst
- bleek twee derde van de foto’s een herkenbaar gezicht te tonen
Nog zorgwekkender: sommige gebruikers deelden in hun profieltekst gevoelige informatie, zoals politieke voorkeur, seksuele oriëntatie of verwijzingen naar andere accounts. Daarmee konden bepaalde nummers worden gekoppeld aan personen met publieke of risicovolle functies, zoals militair personeel en ambtenaren.
Data uit landen waar WhatsApp verboden is
Opvallend is dat veel accounts afkomstig waren uit landen waar WhatsApp officieel verboden is, zoals China, Myanmar en Noord-Korea. Het bestaan van deze data kan daar zelfs risico’s veroorzaken voor gebruikers die verboden communicatieplatformen gebruiken.
Reactie van Meta
Meta, eigenaar van WhatsApp, stelt dat de verzamelde gegevens inmiddels zijn verwijderd en spreekt van “informatie die standaard publiek staat”. De end-to-end-encryptie van berichten zou niet in gevaar zijn geweest. Volgens Meta waren al anti-scrapingmaatregelen in ontwikkeling.
De onderzoekers bevestigen dat de kwetsbaarheid nu actief wordt geblokkeerd, maar waarschuwen dat het onmogelijk is om te bewijzen dat alle lekken verleden tijd zijn. Hun conclusie is breder: telefoonnummer-gebaseerde contactontdekking is handig, maar creëert een fundamentele privacykloof wanneer scraping op grote schaal mogelijk blijkt.
Privé?
Met meer dan twee miljard gebruikers wereldwijd is de vraag dus niet alleen wat WhatsApp nu doet, maar vooral: hoeveel van onze metadata ooit écht privé is geweest?