De massale adoptie van WhatsApp komt gedeeltelijk voort uit hoe gemakkelijk het is om een nieuw contact op het berichtenplatform te vinden: iemands telefoonnummer toevoegen, en WhatsAppen laat direct zien of ze gebruik maken van de dienst, en vaak ook hun profielfoto en naam.
Herhaal diezelfde truc een paar miljard keer met elk mogelijk telefoonnummer, zo blijkt, en dezelfde functie kan ook dienen als een handige manier om het mobiele nummer van vrijwel elke WhatsApp-gebruiker ter wereld te achterhalen, samen met, in veel gevallen, profielfoto’s en tekst die elk van die gebruikers identificeert. Het resultaat is een uitgebreide blootstelling aan persoonlijke informatie voor een aanzienlijk deel van de wereldbevolking.
Een groep Oostenrijkse onderzoekers heeft nu aangetoond dat ze met behulp van deze eenvoudige methode om elk mogelijk nummer in WhatsApp’s contactdetectie te controleren, de telefoonnummers van 3,5 miljard gebruikers uit de berichtendienst konden halen. Voor ongeveer 57 procent van die gebruikers ontdekten ze ook dat ze toegang hadden tot hun profielfoto’s, en voor nog eens 29 procent tot de tekst op hun profielen. Ondanks een eerdere waarschuwing over WhatsApp’s openbaarmaking van deze gegevens door een andere onderzoeker in 2017, zegt het moederbedrijf van de dienst, Meta, er nog steeds niet in geslaagd de snelheid of het aantal contactdetectieverzoeken te beperken die de onderzoekers konden doen door interactie met de browsergebaseerde app van WhatsApp, waardoor ze ongeveer honderd miljoen nummers per uur konden controleren.
Het resultaat zou “het grootste datalek in de geschiedenis zijn, als het niet was verzameld als onderdeel van een verantwoord uitgevoerd onderzoek”, zoals de onderzoekers het beschrijven in een artikel waarin hun bevindingen worden gedocumenteerd.
“Voor zover wij weten is dit de meest uitgebreide openbaarmaking van telefoonnummers en gerelateerde gebruikersgegevens ooit gedocumenteerd”, zegt Aljosha Judmayer, een van de onderzoekers aan de Universiteit van Wenen die aan het onderzoek heeft gewerkt.
De onderzoekers zeggen dat ze Meta in april hebben gewaarschuwd voor hun bevindingen en hun kopie van de 3,5 miljard telefoonnummers hebben verwijderd. In oktober had het bedrijf het opsommingsprobleem opgelost door een strengere “snelheidsbeperkende” maatregel in te voeren die de grootschalige contactdetectiemethode die de onderzoekers gebruikten verhindert. Maar tot die tijd had de blootstelling aan gegevens ook kunnen worden uitgebuit door iemand anders die dezelfde schraptechniek gebruikte, zegt Max Günther, een andere onderzoeker van de universiteit die medeauteur was van het artikel. “Als dit supermakkelijk door ons terug te halen was, hadden anderen dat ook kunnen doen”, zegt hij.
In een verklaring aan WIRED bedankte Meta de onderzoekers, die hun ontdekking rapporteerden via Meta’s ‘bug bounty’-systeem, en beschreef de blootgestelde gegevens als ‘fundamentele openbaar beschikbare informatie’, aangezien profielfoto’s en tekst niet openbaar werden gemaakt voor gebruikers die ervoor kozen deze privé te maken. “We hadden al gewerkt aan toonaangevende anti-schraapsystemen, en deze studie speelde een belangrijke rol bij het testen van stress en het bevestigen van de onmiddellijke werkzaamheid van deze nieuwe verdedigingsmechanismen”, schrijft Nitin Gupta, vice-president engineering bij WhatsApp. Gupta voegt hieraan toe: “We hebben geen bewijs gevonden dat kwaadwillende actoren deze vector misbruiken. Ter herinnering: gebruikersberichten bleven privé en veilig dankzij de standaard end-to-end-codering van WhatsApp, en er waren geen niet-openbare gegevens toegankelijk voor de onderzoekers.”
