Onderzoekers van de University of Vienna en SBA Research ontdekten een privacyfout in WhatsApp waardoor metadata van gebruikers grootschalig kan worden afgegraven. Daarmee rijzen opnieuw vragen over hoe het platform omgaat met informatie buiten versleutelde berichten. De publicatie van het onderzoek werd opgepikt door diverse media, waaronder Cybernews.
De onderzoekers stelden vast dat WhatsApp’s functie voor contact‑ontdekking misbruikt kan worden om telefoonnummers en bijbehorende gebruikersgegevens op grote schaal te extraheren. Die functie is ontworpen om gebruikers te helpen ontdekken welke van hun contacten WhatsApp gebruiken, door telefoonnummers naar de servers van de app te uploaden.
Volgens de onderzoekers kan dit mechanisme gebruikt worden voor “telefoonnummer‑enumeratie”, waardoor elke gebruiker met een WhatsApp‑account kan controleren of een bepaald nummer is geregistreerd op het platform. Tijdens tests haalden zij meer dan 100 miljoen nummers per uur binnen zonder dat effectieve limieten werden overschreden.
Hoewel WhatsApp‑berichten end‑to‑end versleuteld blijven, toont de studie aan dat metadata, zoals profielfoto’s, “over mij”‑teksten, publieke sleutels en laatst‑zicht‑tijden, kan worden gescraped en gecorreleerd om zelfs meer informatie te onthullen. Het team liet zien dat ze konden afleiden hoe lang een account actief is, het type apparaat en het aantal gekoppelde apparaten.
Uit de bevindingen blijkt ook dat WhatsApp nog steeds veel gebruikt wordt in landen waar het officieel verboden is, waaronder China, Iran en Myanmar. De onderzoekers waarschuwen dat dit kwetsbare gebruikers extra risico’s kan opleveren wanneer hun accounts geidentificeerd worden via nummer‑enumeratie.
Meta Platforms, het moederbedrijf van WhatsApp, erkende de ontdekkingen. Nitin Gupta, hoofd Engineering, zei dat het bedrijf werkt aan sterkere anti‑scraping‑systemen en al maatregelen heeft genomen zoals strengere rate limiting en minder zichtbaarheid van bepaalde profielgegevens.
Een recent ontdekte WhatsApp-bug maakte het mogelijk om iPhone-gebruikers met de app te bespioneren, wat de groeiende bezorgdheid over online veiligheid en privacy verder aanwakkert.
