Het is in WhatsApp kinderlijk eenvoudig om telefoonnummers en daarbij profielfoto's en meer info te achterhalen. Door een beveiligingslek kun je zo informatie van miljoenen gebruikers buitmaken.

WhatsApp heeft een handig systeem waarbij je automatisch kan zien of je contacten ook een WhatsApp-account heeft. Je adresboek wordt gesynchroniseerd, waarna je meteen kan beginnen met chatten. Maar dit systeem kent ook zijn keerzijde: door willekeurig nummers in te voeren, kun je zo eenvoudig zien of dit nummer bij WhatsApp geregistreerd staat. Wired maakt opnieuw melding van dit probleem, nadat dit in 2017 ook al aan de kaak gesteld werd.

Beveiligingslek in WhatsApp

Al in 2017 ontdekte de Nederlander Loran Kroeze dat je via een paar stappen aan dataverzameling in WhatsApp kon doen. Meta reageerde destijds kortaf, door te zeggen dat de huidige privacyfuncties van WhatsApp voldoende waren om te voorkomen dat jouw gegevens publiekelijk zichtbaar zijn. Maar jaren later blijkt het nog steeds mogelijk om via allerlei tools op deze manier miljoenen nummers buit te maken, gecombineerd met profielfoto’s en de infotekst in je profiel.

Door willekeurig miljoenen nummers in te vullen en te controleren of deze in de systemen van WhatsApp staan, kun je dus systematisch persoonsgegevens buitmaken. Dit zogenaamde scraping laat je dus niet alleen geregistreerde nummers verzamelen, maar ook profielfoto’s en andere informatie als de eigenaar van dit nummer de instellingen op openbaar heeft staan. Je kunt er in WhatsApp namelijk voor kiezen om gegevens als laatst gezien, je profielfoto, infotekst en links in je account op Iedereen te zetten. Daardoor kan iedereen die jouw nummer heeft, deze informatie zien. En met een telefoonnummer en een profielfoto, kun je zo ook relatief eenvoudig achter iemands naam komen, bijvoorbeeld via openbare social media-profielen.

In een reactie zegt Meta dat het de nieuwe onderzoekers bedankt, maar dat er hier geen sprake is beveiligingslek omdat gegevens van gebruikers die hun informatie niet op openbaar hebben staan, ook niet te zien is. WhatsApp zegt al langere tijd te werken aan een systeem dat scraping tegen gaat, waardoor je niet in korte tijd op deze manier miljoenen nummers en gegevens kan buitmaken. De onderzoekers zeggen echter dat ze in hun test geen beperkingen tegen gekomen zijn.

Zo bescherm je jezelf in WhatsApp tegen het stelen van gegevens

Het is helaas niet mogelijk om je telefoonnummer helemaal af te schermen in WhatsApp. Iemand kan altijd een willekeurig nummer invoeren en checken of deze bij WhatsApp geregistreerd staat. Als dat toevallig jouw nummer is, kun je dat dus niet tegenhouden. Wat je wel zelf in de hand hebt, is welke gegevens diegene dan kan zien. Zo scherm je alles af:

Open WhatsApp en ga naar Instellingen > Privacy. Kies de gegevens die je wil beschermen, waarbij je telkens de keuze hebt tussen Iedereen, Mijn contacten, Mijn contacten, behalve… en Niemand. Laatst gezien en online

Profielfoto

Info

Links

Groepen

Avatarstickers

Status

Lees meer over hoe je de privacy in WhatsApp kan verbeteren ter bescherming van je eigen gegevens.