Onderzoekers uit Oostenrijk onthullen WhatsApp-lek: via de webversie waren telefoonnummers van 3,5 miljard gebruikers te scrapen; profielfoto’s en statussen.
© E. Vartanyan
Oostenrijkse onderzoekers melden dat ze een ernstig probleem in WhatsApp hebben blootgelegd: de dienst maakte het in feite mogelijk voor iedereen om de telefoonnummers van het volledige gebruikersbestand van 3,5 miljard mensen te oogsten. Inbreken was daar niet voor nodig; eenvoudige, mechanische nummerchecks via de webversie volstonden.
WhatsApp is zo ingericht dat een contact vinden neerkomt op het invoeren van een telefoonnummer. Het systeem geeft direct aan of iemand geregistreerd is en toont eventuele openbare profielgegevens. De onderzoekers namen die alledaagse handeling en schaalden die op, door het proces te automatiseren en zo miljoenen nummers per uur te testen.
In hun experiment konden ze de nummers van alle gebruikers verzamelen. Daarnaast kregen ze toegang tot profielfoto’s bij ongeveer 57% van de accounts en tot tekststatussen bij zo’n 29%—kortom, alles wat mensen openbaar hadden gelaten.
Het probleem bleef jarenlang liggen: waarschuwingen over een vergelijkbare kwetsbaarheid bereikten de ontwikkelaars al in 2017, terwijl een beperking van het aantal verzoeken pas in oktober 2025 werd ingevoerd. Voor een platform van deze schaal voelt zo’n ingreep ronduit laat en het onderstreept hoe lang gebruikers mogelijk onnodig zichtbaar zijn geweest.
De ontwikkelaars stelden dat het om basisinformatie ging die alleen zichtbaar is voor zover gebruikers die zelf openbaar maken. Ook gaven ze aan geen aanwijzingen te hebben voor doelbewust misbruik van de zwakke plek en dat de onderzoekers geen privégegevens hebben ingezien. Tegelijkertijd verandert de lading zodra zulke gegevens op massale schaal te verzamelen zijn—dan wordt “publiek” ineens een stuk gevoeliger.