Drieënhalf miljard actieve WhatsApp‑accounts konden worden bevestigd en de metadata bekeken, door telefoonnummers op ongekende schaal te testen. Hoe een wetenschappelijke test uitmondde in ’s werelds grootste datalek.
Wat begon als een test van de contactdetectie groeide uit tot een demonstratie van hoe eenvoudig het is om de infrastructuur van WhatsApp te misbruiken. Een team wetenschappers heeft de bevindingen gepubliceerd en verbaasde zich er onder andere over dat ‘ons ip‑adres niet en ook onze accounts niet werden geblokkeerd’, terwijl zij honderd miljoen nummers per uur konden controleren. Het resultaat: drieënhalf miljard bevestigde accounts; WhatsApp zegt dat twee miljard mensen de app gebruiken.
Bijna de helft van de nummers uit het Facebook‑lek van 2021, dat veel kleiner was, bleek nog steeds actief. Het team merkt dan ook op dat hun hack ‘de langetermijngevolgen van datalekken benadrukt’: de buit van historische incidenten blijft jarenlang bruikbaar voor aanvallers.
No, no limits, voor rates
De aanpak was technisch eenvoudig maar uiterst effectief. Door een open‑source-client te koppelen aan WhatsApp’s XMPP‑API konden registraties worden bevestigd en ook metadata worden verzameld: profielfoto’s, profielteksten en publieke encryptiesleutels. Het team genereerde 63 miljard mogelijke nummers en identificeerde daaruit 3.546.479.731 unieke accounts.
Zelfs bij een querysnelheid van zevenduizend nummers per seconde trad geen enkele vorm van rate‑limiting op. De auteurs concluderen dan ook dat theoretische aannames over beveiliging weinig waarde hebben zonder grootschalige praktijkproeven en stellen dat ‘de enige manier om het succes van onze aanvallen in de echte wereld betrouwbaar te schatten empirische evaluatie is’.
Indirecte beveiligingsrisico’s
Zelfs in landen waar WhatsApp verboden is, zoals China en Myanmar, werden miljoenen actieve accounts gevonden. De dataset bood een ongekend venster op gebruikersgedrag: 57 procent van de wereldwijde accounts had een publieke profielfoto, met uitschieters tot boven de 80 procent in West‑Afrikaanse landen. In Europa deelt meer dan 45 procent een profieltekst, terwijl dit in Algerije slechts 6 procent is. De onderzoekers merken op dat zulke semantische inhoud geclusterd zou kunnen worden voor demografische inzichten.
Verder werden tientallen telefoonnummers ontdekt, voornamelijk in de VS, die ‘een all‑zero private key gebruiken’. Het kunnen verzamelen van keys roept zelf al vragen op, want dat kan inzicht geven in sleutelrotatie en mogelijke correlatie tussen accounts.
Grootste datalek ooit
De omvang van de dataset was ongekend. De auteurs schrijven dat ‘wij een dataset analyseren die naar onze kennis zou kwalificeren als het grootste datalek in de geschiedenis’. Met meer records dan het Yahoo‑lek van 2013 zou openbaarmaking catastrofale gevolgen hebben gehad voor de digitale veiligheid wereldwijd.
Fundamentele architectuurkeuzes laten te makkelijk misbruik toe en beveiligingsmechanismen blijken structureel tekort te schieten, zo moest het team constateren. Ze doen daarom concrete suggesties voor mitigatie, zoals het invoeren van rate‑limiting, het randomiseren van responses en het monitoren van querypatronen.
