Lek bij WhatsApp gooit 3,5 miljard telefoonnummers te grabbel
Beveiligingsexperts hebben een lek blootgelegd bij WhatsApp. Via een eenvoudig te vinden zwakke plek in de code konden ze zomaar 3,5 miljard telefoonnummers van de berichtenapp halen. Ze stellen dat dit in slechte handen kon uitgroeien tot het grootste datalek ooit. Bovendien is Meta al meer dan acht jaar op de hoogte van het lek in de code, maar heeft het al die tijd niets gedaan. Het zou zelfs gaan om een heel eenvoudige beveiligingsingreep.
Geen limiet op zoeken
Het grote gemak van WhatsApp is meteen ook zijn achilleshiel, zo blijkt. Je kan gewoon een telefoonnummer invoeren en je ziet meteen of dat nummer op WhatsApp zit. Doe je die handeling een paar miljard keer, dan kom je het nummer van elke WhatsApp-gebruiker ter wereld te weten. Vaak krijg je nog de naam, profielfoto en interessante extra info (wie iets ‘over zichzelf’ erbij plaatst) er zomaar bij.
Al in 2017 vond een andere beveiligingsexpert het probleem dat er geen limiet staat op het aantal nummers dat je kan opzoeken. Daardoor kunnen dit soort aanvallen plaatsvinden. Nu, acht jaar later, hebben onderzoekers van de Universiteit van Wenen hetzelfde lek nog altijd kunnen benutten. Na een half uur hadden ze al de eerste 30 Amerikaanse nummers te pakken. Na hun experiment hebben ze de hele databank met telefoonnummers gewist en Meta gewaarschuwd.
De Amerikanen namen er daarna hun tijd voor, want het duurde nog een half jaar voor ze een limiet hebben gezet op de opzoekacties. Daardoor kunnen dit soort aanvallen niet meer gebeuren. De verantwoordelijken van WhatsApp meldden doodleuk dat ze geen weet hebben van eerder misbruik van het lek.
Beloning voor ethisch hacken
Dit is niet het enige geval van ethische hackers die Meta hebben geassisteerd. De techreus reikte dit jaar al vier miljoen dollar aan beloningen uit aan hackers die hen hebben geholpen om 800 lekken te dichten, meldt Forbes.
