Onderzoekers ontdekten hoe ze in een half uur 3,5 miljard WhatsApp-nummers konden achterhalen
Verenigde Staten, woensdag, 19 november 2025.
Wetenschappers van de Universiteit van Wenen gebruikten een simpele truc om telefoonnummers van bijna alle WhatsApp-gebruikers wereldwijd te verzamelen. Ze voerden miljarden nummers in via de contactzoekfunctie en kregen zo toegang tot 3,5 miljard accounts. Bij 57% zagen ze ook profielfoto’s. Meta heeft het lek inmiddels gedicht, maar experts waarschuwen dat telefoonnummers eigenlijk nooit bedoeld waren als geheime identificatie voor miljarden gebruikers.
Een Nederlandse waarschuwing uit 2017 genegeerd
Het probleem was niet nieuw. Nederlandse onderzoeker Loran Kloeze waarschuwde al in 2017 voor dezelfde kwetsbaarheid in WhatsApp’s telefoonnummer-enumeratie [1]. Meta, toen nog Facebook, wuifde de zorgen weg. Ze beweerden dat WhatsApp’s privacy-instellingen nog steeds werkten zoals bedoeld [1]. Acht jaar later bewezen de Weense onderzoekers dat dit een dure vergissing was. Ze slaagden erin om in slechts een half uur toegang te krijgen tot bijna elke WhatsApp-gebruiker ter wereld [2]. “Voor zover wij weten, markeert dit de meest uitgebreide blootstelling van telefoonnummers en gerelateerde gebruikersgegevens die ooit is gedocumenteerd,” zegt hoofdonderzoeker Aljosha Judmayer [1][2]. De onderzoekers handelden verantwoordelijk door Meta in april 2025 te waarschuwen en hun database van 3,5 miljard nummers te wissen [1][2].
Wat betekent dit voor jouw privacy?
De cijfers zijn schrikbarend. Van de 137 miljoen Amerikaanse nummers die de onderzoekers verzamelden, toonde 60.280 million accounts hun profielfoto [1]. In India was dit zelfs 465.000 million van de 750 miljoen accounts [1]. Brazil scoorde net iets lager met 125.660 million van de 206 miljoen nummers [1]. Meta reageerde pas in oktober 2025 met strengere ‘rate-limiting’ maatregelen om massale contactzoekopdrachten te blokkeren [1][2]. “We hadden al gewerkt aan toonaangevende anti-scraping systemen, en deze studie was cruciaal om de directe effectiviteit van deze nieuwe verdedigingen te stress-testen,” schrijft Nitin Gupta, vice-president engineering bij WhatsApp [1]. Het bedrijf beweert geen bewijs te hebben gevonden van kwaadwillende actoren die dit lek misbruikten [1].
Telefoonnummers zijn geen geheime codes
Het echte probleem ligt dieper dan dit specifieke lek. “Telefoonnummers waren niet ontworpen om gebruikt te worden als geheime identificaties voor accounts, maar zo worden ze in de praktijk wel gebruikt,” legt onderzoeker Judmayer uit [1]. WhatsApp heeft ongeveer 3,5 miljard actieve gebruikers [4], maar telefoonnummers hebben simpelweg niet genoeg willekeurigheid om als unieke identificatie voor zo’n enorme dienst te dienen [1]. De onderzoekers ontdekten zelfs dat sommige cryptografische sleutels honderden keren werden hergebruikt, met 20 Amerikaanse nummers die een sleutel van alleen nullen gebruikten [1]. Rate-limiting blijft de enige beschikbare maatregel om te voorkomen dat gebruikersgegevens massaal worden verzameld [1]. Voor gewone gebruikers betekent dit: je telefoonnummer is minder privé dan je denkt, ook al zijn je berichten nog steeds veilig versleuteld [2].