Een pijnlijke beveiligingsblunder bij WhatsApp heeft de telefoonnummers van zowat alle gebruikers ter wereld blootgelegd.
Schrijf je in op onze nieuwsbrief en ontvang elke week het beste van Clickx in je mailbox.
Lek bij WhatsApp: 3,5 miljard telefoonnummers belanden op straat
Ethische hackers ontdekten een oude zwakke plek in de code en konden daarmee 3,5 miljard nummers uit de databank opvissen. Daarbij hoorden ook namen, profielfoto’s en andere profielinfo. Dat meldt Heise.de. Beveiligingsonderzoekers uit Wenen maakten de kwetsbaarheid onlangs opnieuw zichtbaar. De fout is eigenlijk verbazend eenvoudig: WhatsApp laat toe om onbeperkt telefoonnummers te controleren. Voer een nummer in, en je ziet meteen of die persoon op WhatsApp zit. Herhaal dat proces miljoenen keren geautomatiseerd, en je kunt de volledige gebruikersdatabase reconstrueren.
Volgens de onderzoekers wist Meta al minstens acht jaar dat deze kwetsbaarheid bestond. Toch bleef de fout jarenlang onaangeroerd, terwijl de oplossing (het instellen van een zoeklimiet) technisch gezien niet ingewikkeld is.
Probleem dat al 8 jaar bekend is
Het probleem werd voor het eerst aangekaart in 2017, maar raakte toen niet opgelost. De Oostenrijkse onderzoekers vonden exact hetzelfde lek in 2024 terug. Hun test toonde aan hoe triviaal de hack in de praktijk was: binnen een half uur hadden ze de eerste 30 Amerikaanse nummers opgevist. Daarna konden ze probleemloos verder graven tot de volledige dataset toegankelijk was. Uiteraard hebben ze die dataset na hun onderzoek gewist en Meta opnieuw verwittigd.
Meta reageerde opvallend traag. Pas een half jaar later werd er effectief een limiet gezet op het aantal zoekopdrachten, waardoor deze vorm van scraping nu niet meer mogelijk is. In een reactie stelt WhatsApp dat er “geen aanwijzingen zijn dat het lek eerder misbruikt werd”, al nemen veel beveiligingsexperts dat met een korrel zout.
Bug bounties stapelen zich op
Het incident staat niet op zichzelf. Meta doet al jaren een beroep op ethische hackers om zwakke plekken op te sporen. In 2024 keerde het bedrijf volgens Forbes al zo’n vier miljoen dollar uit aan bug bounty-beloningen, goed voor meer dan 800 gedichte beveiligingslekken. Dat WhatsApp ondanks dat systeem zo lang met een gekend probleem bleef rondlopen, maakt deze zaak des te pijnlijker.
Abonneer op Clickx
Krijg Clickx magazine 10 keer per jaar (waarvan 2 extra dikke dubbelnummers) keurig thuisbezorgd.
