De webversie van Whatsapp maakt het mogelijk om op grote schaal de profielfoto en status van willekeurige gebruikers op te vragen. Dat ontdekte Nederlandse beveiligingsonderzoeker Loran Kloeze.
Kloeze deelde zijn bevindingen via zijn eiegen website.
Hij maakte hiervoor gebruik van Whatsapp Web. Deze browserversie van Whatsapp staat in verbinding met de telefoon van gebruikers om hen zo via een computer berichten te laten versturen en ontvangen. Ook wordt in de webversie informatie weergegeven over contacten, waaronder hun profielfoto en status.
Kloeze ontdekte dat de software die Whatsapp gebruikt om deze informatie in de webversie te tonen niet controleert of de opgevraagde gegevens ook echt horen bij telefoonnummer dat een Whatsapp Web-gebruiker in zijn of haar telefoon heeft staan.
De servers van Whatsapp sturen deze informatie bij ieder bestaand telefoonnummer terug, waardoor dus ook de profielfoto en status van vreemden kunnen worden bemachtigd. Kloeze moest hiervoor wel zelf een script maken, maar wist zo op grote schaal informatie van telefoonnummers op te vragen.
Privacyinstellingen
De eigenaars van deze telefoonnummers moeten dan wel in Whatsapp aan hebben staan dat iedereen hun profielfoto, status en het tijdstip dat zij het laatst online waren mogen zien. Deze privacyinstellingen staan standaard zo ingesteld en volgens Kloeze passen de meeste Whatsapp-gebruikers deze niet aan.
Op zijn website laat Kloeze zien hoe hij als test van vierhonderd opeenvolgende telefoonnummers informatie heeft opgevraagd via de servers van Whatsapp. Dat leverde al een aantal profielfoto's en statusteksten van gebruikers op. Volgens Kloeze is het op eenzelfde manier mogelijk om een database aan te leggen van bijvoorbeeld alle Nederlandse telefoonnummers.
Deze database zou dan in theorie ook gebruikt kunnen worden om de telefoonnummers van willekeurige voorbijgangers op straat te bemachtigen, door een foto van hen te maken en daar via beeldherkenningssoftware de bijbehorende Whatsapp-profielfoto bij te zoeken. Die foto is namelijk in hoge resolutie op te vragen, zo verduidelijkt Kloeze op Twitter.
Reactie Facebook
Kloeze besloot zijn bevindingen te delen met Facebook, eigenaar van Whatsapp. Het bedrijf liet in een reactie weten dat het niet gaat om een onbedoelde fout. Het sociale netwerk zegt bekend te zijn met de mogelijkheid om deze informatie op te vragen, maar verweert zich door te stellen dat gebruikers de optie hebben om dergelijke gegevens te verbergen via de privacyinstellingen.
Ook meldt Facebook dat deze manier van persoonlijke gegevens ontfutselen niet wezenlijk verschilt van een willekeurig nummer invoeren in de contactenlijst van een smartphone en daarna Whatsapp te openen om te kijken of er een profielfoto en status wordt getoond.