Onderzoekers van de Universiteit van Wenen konden door een kwetsbaarheid informatie van 3,5 miljard WhatsApp-accounts scrapen. Meta heeft het probleem inmiddels verholpen en de onderzoekers hebben nu hun onderzoek openbaar gemaakt (pdf). WhatsApp laat gebruikers op basis van telefoonnummers andere gebruikers op het platform zoeken. Gebruikmakend van dit mechanisme ontdekten de onderzoekers een manier om meer dan 100 miljoen telefoonnummers per uur te controleren.

"Normaliter zou een systeem niet op zo'n groot aantal requests in een korte tijd moeten reageren, met name als ze van één bron afkomstig zijn", zegt onderzoeker Gabriel Gegenhuber van de Universiteit van Wenen. "Dit gedrag stelde de onderliggende kwetsbaarheid bloot, wat ons in feite een onbeperkt aantal requests naar de server liet sturen en ons zo gebruikersdata wereldwijd in kaart liet brengen."

De informatie die de onderzoekers op deze manier konden scrapen is publiek voor iedereen die het telefoonnummer van een WhatsApp-gebruiker weet. Het gaat om telefoonnummer, public keys, timestamps, en wanneer ingesteld als openbaar, ook tekst en profielfoto. Met deze datapunten wisten de onderzoekers vervolgens aanvullende informatie te verzamelen, waarmee ze het besturingssysteem van de gebruiker konden afleiden, de leeftijd van het account, alsmede het aantal gekoppelde apparaten aan het account.

Volgens de universiteit laat het onderzoek zien dat zelfs met deze beperkte hoeveelheid data per gebruiker belangrijke informatie valt af te leiden, zowel op macroscopisch als individueel niveau. Zo wisten de onderzoekers miljoenen actieve WhatsApp-accounts te identificeren in landen waar het platform officieel verboden is, waaronder China, Iran en Myanmar. Verder blijkt dat 81 procent van de WhatsApp-gebruikers Android draait, tegenover 19 procent op iOS.

Verder bleek dat bijna de helft van de telefoonnummers die in 2021 via een datalek bij Facebook openbaar werden, en in 2018 waren gescrapet, nog steeds actief is op WhatsApp. Volgens de onderzoekers laat dit het risico van gelekte telefoonnummers zien. De onderzoekers merken op dat ze alle verzamelde informatie inmiddels hebben verwijderd en er geen toegang is verkregen tot berichten van gebruikers.

Meta liet eerder deze week weten dat de onderzoekers een nieuwe manier hadden gevonden voor het op grote schaal enumereren van WhatsApp-accounts. "In hun onderzoek genereerden ze door middel van opensourcetools een lijst van mogelijke telefoonnummers, controleerden of die bij WhatsApp waren geregistreerd en verzamelden basale openbare informatie op een manier die verder ging dan onze bedoelde limieten", aldus het techbedrijf. Dat voegt toe dat er geen aanwijzingen zijn gevonden dat kwaadwillenden van het probleem misbruik hebben gemaakt. Welke beloning de onderzoekers voor het rapporteren van de kwetsbaarheid kregen is niet bekendgemaakt.