Een kritiek beveiligingsprobleem in WhatsApp heeft de telefoonnummers en bijbehorende profielinformatie van meer dan 3 miljard gebruikers wereldwijd blootgelegd, wat ernstige privacyproblemen met zich meebrengt voor ‘s werelds populairste berichtenapp. De fout, ontdekt door onderzoekers van de Universiteit van Wenen en SBA Research, stelt kwaadwillende actoren in staat gebruikersgegevens op een ongekende schaal te stelen.
Hoe het beveiligingslek werkt
De kern van het probleem ligt in het contactdetectiemechanisme van WhatsApp. Wanneer een gebruiker de app toestemming geeft om toegang te krijgen tot zijn adresboek, vergelijkt WhatsApp die nummers met de centrale database om te zien welke contacten zich ook op het platform bevinden. Ditzelfde proces kan echter worden misbruikt om zonder toestemming systematisch telefoonnummers, profielfoto’s en ‘Over’-statussen op te sommen.
“Dit probleem benadrukt een fundamenteel probleem met de architectuur van WhatsApp: het telefoonnummer zelf is de kwetsbaarheid.” — Marijus Briedis, CTO bij NordVPN.
Dit betekent dat iedereen met technische basisvaardigheden potentieel miljarden datapunten zou kunnen hebben verzameld, waardoor zeer gerichte aanvallen mogelijk waren, waaronder phishing, nabootsing van identiteit en social engineering-fraude. De snelheid waarmee deze gegevens kunnen worden geëxtraheerd is bijzonder alarmerend.
De bredere implicaties
Dit incident onderstreept een bredere trend: de inherente risico’s van het gebruik van telefoonnummers als primaire gebruikersidentificatie. Telefoonnummers zijn openbaar, permanent en gemakkelijk te achterhalen, waardoor ze ongeschikt zijn voor veilige authenticatie in moderne digitale omgevingen. Veel platforms zijn nog steeds afhankelijk van telefoonnummers voor registratie en verificatie, waardoor een systemische kwetsbaarheid ontstaat waar cybercriminelen misbruik van kunnen maken.
De bevindingen van de onderzoekers, gepubliceerd in een voorgedrukt artikel met de titel ‘Hey daar! You are used WhatsApp: Enumerating three miljard accounts for security and privacy’ herinneren ons er duidelijk aan dat zelfs volwassen platforms als WhatsApp niet immuun zijn voor fundamentele ontwerpfouten.
Meta’s reactie en recente beschuldigingen
Meta, het moederbedrijf van WhatsApp, beweert de kwetsbaarheid te hebben aangepakt en beperkt en stelt dat er geen bewijs is van kwaadwillige uitbuiting. Het bedrijf erkent ook de verantwoorde openbaarmaking door onderzoekers van de Universiteit van Wenen in het kader van het Bug Bounty-programma.
Dit komt echter na recente beschuldigingen van voormalig WhatsApp-beveiligingshoofd, Attaullah Baig, die een rechtszaak heeft aangespannen wegens systeemfouten bij het aanpakken van accountovernames en hacking, waarbij dagelijks meer dan 100.000 accounts worden gecompromitteerd. De beweringen van Baig suggereren dat de beveiligingspraktijken van WhatsApp wellicht lakser zijn dan publiekelijk wordt erkend.
Wat dit betekent voor gebruikers
Het blootleggen van deze fout is een wake-up call voor zowel gebruikers als platforms. Het benadrukt de behoefte aan sterkere methoden voor identiteitsverificatie die verder gaan dan alleen telefoonnummers, zoals gedecentraliseerde identificatiemiddelen of biometrische authenticatie.
Uiteindelijk versterkt dit incident de realiteit dat online privacy een voortdurende strijd is en geen vaste situatie. Gebruikers moeten waakzaam blijven over hun digitale voetafdruk, en platforms moeten prioriteit geven aan robuuste beveiligingsmaatregelen om hun gebruikersbestand te beschermen.
