WhatsApp-datalek grootste en makkelijkste ooit

woensdag, 19 november 2025 (19:17) - Computable

In dit artikel:

Een team onderzoekers heeft aangetoond dat de contact‑detectie van WhatsApp op ongekende schaal kan worden misbruikt: door telefoonnummers systematisch te testen via WhatsApp’s XMPP‑API konenzij 3.546.479.731 unieke, actieve accounts bevestigen en bijbehorende metadata verzamelen. De proef, die recentelijk is gepubliceerd door de onderzoekers, liet zien dat de aanvallers met een eenvoudige open‑sourceclient uit 63 miljard mogelijke nummers die miljoenen testen konden uitvoeren zonder dat hun IP‑adres of accounts werden geblokkeerd — in de praktijk tot honderd miljoen checks per uur (ongeveer 7.000 per seconde) — doordat er geen effectieve rate‑limiting was.

Wat werd verzameld
- Bevestiging van account‑bestaan en metadata zoals profielfoto’s, profielteksten en publieke encryptiesleutels.
- Wereldwijde inzichten: 57% van de accounts had een publieke profielfoto; in sommige West‑Afrikaanse landen liep dat op tot boven 80%. In Europa deelt meer dan 45% een profieltekst.
- Technische bijzonderheden: tientallen telefoonnummers (voornamelijk uit de VS) bleken een “all‑zero” private key te gebruiken; historische data uit het Facebook‑lek van 2021 bleken grotendeels nog steeds bruikbaar.

Gevolgen en beoordeling
De auteurs waarschuwen dat hun dataset, naar hun zeggen mogelijk het grootste datalek ooit, meer records bevat dan het Yahoo‑lek uit 2013. Openbaarmaking had volgens hen wereldwijd desastreuze gevolgen kunnen hebben. De test illustreert ook hoe lang de opbrengst van eerdere datalekken relevant blijft en hoe fundamentele architectuurkeuzes van WhatsApp misbruik eenvoudig toelaten.

Aanbevelingen
De onderzoekers doen concrete voorstellen om dit soort grootschalig misbruik te bemoeilijken: invoer van rate‑limiting, het randomiseren van responses en actieve monitoring van querypatronen om verdachte scans te detecteren.

Spreiding per land
De analyse bevat ook een ranglijst van landen naar aantal accounts: India (749 miljoen), Indonesië (235 miljoen), Brazilië (207 miljoen), VS (138 miljoen) en Rusland (133 miljoen) staan bovenaan. Nederland staat op de lijst met circa 19 miljoen accounts; ongeveer 59% van die accounts toont een profielfoto en 46% heeft een profieltekst.

Kortom: een relatief eenvoudige, empirische test demonstreert ernstige, structurele beveiligingslacunes in WhatsApp’s infrastructuur en laat zien hoe schaalbare automatische scans enorme hoeveelheden persoonlijke data kunnen blootleggen.

Lees het volledige artikel