WhatsApp-lek maakte data van 3,5 miljard accounts vindbaar

Een functie die moet controleren of telefoonnummers correct zijn ingevoerd, kan ze blijkbaar ook heel simpel vrijgeven. Daar kwamen onderzoekers van The Internet Society achter. Ze publiceerden hun bevindingen in een rapport op GitHub.

Via kwetsbaarheid in de functie die laat zien of een ingevoerd telefoonnummer op WhatsApp is geregistreerd, kregen de onderzoekers toegang tot  telefoonnummers, namen en in veel gevallen profielfoto’s en profielteksten. Door automatisch extreem veel nummers te proberen, konden de onderzoekers vaststellen welke nummers actief zijn. Deze aanpak staat bekend als enumeratie. Daarbij wordt geen berichtinhoud gekraakt. Het gaat om publiek zichtbare metadata.

Simpel, maar doeltreffend

Het team gebruikte een tool die geldige nummerformats genereert. Zo konden ze naar eigen zeggen ruim 100 miljoen accounts per uur controleren. In totaal bevestigden ze 3,5 miljard registraties. Bij 57 procent van die accounts was een profielfoto zichtbaar. Bij 29 procent was ook de tekst op het profiel te zien. Twee derde van de zichtbare foto’s bevatte een herkenbaar gezicht.

De impact reikt verder dan basisinformatie. Profielteksten bleken soms gevoelige details te bevatten. De onderzoekers noemen voorbeelden zoals seksuele oriëntatie, politieke standpunten en verwijzingen naar andere platforms. Ook konden telefoonnummers worden gekoppeld aan professionele e‑mailadressen en profielen van overheids- en militaire medewerkers.

Ook lekken in landen waar WhatsApp verboden is

Opvallend is dat ook in landen waar WhatsApp is verboden veel actieve accounts zijn geregistreerd. De onderzoekers zagen grote aantallen nummers uit onder meer China, Myanmar en Noord‑Korea. Dat sluit aan bij eerdere uitlatingen van WhatsApp-topman Will Cathcart dat de app ondanks verboden toch gebruikt wordt. In sommige van deze landen kunnen de gevolgen van overtredingen aanzienlijk zijn.

Meta, het moederbedrijf van WhatsApp, zegt dat het al werkte aan anti‑scrapingmaatregelen. Het bedrijf spreekt van “basisinformatie die publiek zichtbaar is” en wijst erop dat end‑to‑end-encryptie voor berichten ongewijzigd is. Volgens WhatsApp zijn de gegevens die de onderzoekers verzamelden inmiddels verwijderd. Het bedrijf zegt geen bewijs te hebben dat kwaadwillenden dezelfde methode hebben misbruikt.

De onderzoekers verklaarden dat WhatsApp de enumeratie na hun melding nu effectief blokkeert. Bij een herhaling van de test werden ze snel tegengehouden. Tegelijkertijd benadrukken zij dat het bestaan van een probleem makkelijker is aan te tonen dan de volledige afwezigheid ervan. Het onderzoek wijst in elk geval op een fundamenteel spanningsveld: het gemak van telefoonnummer‑gebaseerde contactontdekking versus de privacyrisico’s van grootschalige scraping.