Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 109 reacties
Submitter: niekvanoost

Beveiligingsexpert Loran Kloeze heeft op zijn blog uiteengezet hoe een database kan worden aangelegd met daarin de telefoonnummers, profielfoto's en statusinformatie van bijna alle WhatsApp-gebruikers. Dit blijkt mogelijk via een ongedocumenteerde api van WhatsApp Web.

De dataverzameling is volgens Kloeze mogelijk omdat de api van de webversie van WhatsApp iemands telefoonnummer naar de server zendt en vervolgens de profielfoto, de statustekst en informatie over de onlinestatus van de gebruiker weer naar de browser stuurt. Volgens Kloeze stuurt de server deze informatie terug voor elk denkbaar telefoonnummer, ook voor nummers die niet in iemands contactlijst staan. Dat maakt het mogelijk een database aan te leggen met telefoonnummers en profielfoto's van derden en waarbij kan worden gereconstrueerd wanneer de gebruiker online was met WhatsApp.

Kloeze heeft een zelfgeschreven script gebruikt om van een groot aantal telefoonnummers de statusinformatie op te vragen. Hij maakte gebruik van een drietal api-calls. Met de eerste werden de urls van de profielfoto's opgevraagd. Met deze tweede werd de statustekst van de WhatsApp-gebruiker opgevraagd en met de laatste api-call kon hij opvragen of iemand online of offine is.

Door deze api-calls in een loop te gebruiken kon Kloeze van elk denkbaar telefoonnummer van een willekeurige WhatsApp-gebruiker informatie opvragen. Deze dataverzameling is alleen mogelijk bij gebruikers die hun privacy-instellingen in WhatsApp niet hebben aangepast en bijvoorbeeld hun profielfoto en statusinfo niet hebben verborgen. Dit is waarschijnlijk het geval voor het overgrote deel van de gebruikers.

Kloeze heeft op zijn blog zijn zorgen geuit over hoezeer met deze kwetsbaarheid de privacy van gebruikers onder druk kan komen te staan. De beveiligingsexpert heeft zijn bevindingen gedeeld met Facebook, de eigenaar van WhatsApp. Kloeze kreeg in een e-mail te horen dat Facebook bekend is met de mogelijkheid van de dataverzameling en het niet als een probleem ziet. Op basis van deze reactie heeft Kloeze besloten zijn bevindingen te openbaren op zijn blog.

Moderatie-faq Wijzig weergave

Reacties (109)

Dit was jaren geleden al mogelijk. Ik kon zelfs op de seconde nauwkeurig aangeven wanneer een bepaald nummer online was.. Zie ook https://halimgokduman.nl/whatsprivacy-whatsapp-privacy/.
Dit is inderdaad niets nieuws. Je hebt de API er niet eens voor nodig. Ik heb bij wijze van test jaren geleden al eens mijn adresboek gevuld met zo'n 1000 opeenvolgende telefoonnummers. WhatsApp toonde mij vervolgens keurig alle profielfoto's en statussen. De API maakt het wat makkelijker natuurlijk maar de werking is hetzelfde.

Dit probleem is overigens te verhelpen via de privacy instellingen van WhatsApp. Daar kun je instellen wie jou gegevens kunnen zien. Ik heb deze op "Mijn contacten" staan. Dit betekend dat alleen mensen die ik zelf in mijn adresboek heb staan mijn gegevens kunnen zien.
Ga via het menu in WhatsApp naar "Account" en klik dan op "Privacy". Daar kun je alles instellen zoals je zelf wenst.

[Reactie gewijzigd door 3raser op 9 mei 2017 11:08]

Ik heb deze instelling altijd al op "mijn contacten" staan maar toen ik via het script van Loran mezelf opzocht kreeg ik keurig mijn profielfoto die alleen bestemd is voor "mijn contacten".

Zie screenshot: https://robinkooij.stackstorage.com/s/qyIgPFJU4dsOwaR
Met de privacy-instellingen kan je inderdaad voorkomen dat anderen je profielfoto of status kunnen zien. Je kan echter niet voorkomen dat derden zien dat je online bent, tenzij je dat specifieke nummer blokkeert. Dan moet je maar net weten welk nummer wordt gebruikt voor deze dienst. ;)
Sorry, misschien was ik niet duidelijk. Ik had de privacy instellingen al zo ingesteld dat alleen contacten mijn profielfoto mochten zien. Maar het script (dat geen contact van mij is) kon de profielfoto gewoon laden.

Het lijkt erop dat zelfs de privacy instellingen niet werken als je de informatie via de API opvraagt.
Heel interessant, dank voor de link!
Waar ik benieuwd naar ben heb je die app ook al uitgebracht of een demo, want na 9 december 2014 hebben we niks meer vernomen. :P
Nope. Ik ben kort daarna gestopt met de ontwikkeling ervan, mede onder druk van vrienden en familie. :D
Precies dezelfde 'hack' is een hele tijd geleden al geopenbaard. Het betreft dan ook een design choice/flaw ipv een lek.

http://www.dailymail.co.u...ing-privacy-settings.html

Iets met oude koeien en clickbait ;)
Kan iemand mij vertellen wat er technisch precies anders is dan deze 400 adressen toevoegen aan jouw contactenlijst? Ook dan kan je deze informatie opvragen.. alleen is het volledig niet-geautomatiseerd.

Verder vraag ik mij af of Loran nu een subscription maakt met al deze 400 telefoonnummers? Zo is het bijv. al mogelijk om een overzicht op te vragen van alle WA profielen waarmee jij op dat moment een subscription hebt (en vice versa). Een subscription/hand-shake komt tot stand als een van beide een chat opent om diens status te bekijken/bericht schrijven. De subscription wordt weer verbroken als een van de partijen de app geforceerd afsluit terwijl de andere partij op dat moment offline is.

WhatsApp heeft volgens mij een beveiliging ingebouwd dat als een account teveel subscriptions maakt, het tijdelijk geen online status meer kan bekijken. Er was bijv. ooit een iPhone tweak in Cydia die een lijstje maakte van alle "nu online" contacten in jouw WhatsApp. Hierdoor had jouw WA dus een subcription met alle telefoonnummers/WA accounts in jouw contactenlijst (anders kon de online status niet worden opgehaald). Echter stopte deze tweak na een aantal uren met werken omdat er blijkbaar teveel subscriptions werden gemaakt in een korte tijd. De WA servers blokkeerde de boel en je kon van niemand meer zien of hij/zij online was. Na een aantal uren werkt het dan weer.

Met deze tweak kon je WA ook actief houden en aangeven dat wanneer een contact online/offline ging en je een push-melding kreeg. Vereist is namelijk dat jij op dat moment online moet zijn om te weten of een van de andere contacten online is.

Nogmaals, dit werkte steeds maar voor een korte periode. Alsof jouw profiel werd geblokkeerd als je te veel subscriptions open had. En dat waren er geen 400 maar hooguit 80.

Volgens mij heeft WA dus wel een vorm van beveiliging ingebouwd.

[Reactie gewijzigd door 4ppl3 op 9 mei 2017 16:18]

Ziek dat dit zo makkelijk gaat en er niks aan wordt gedaan
Ja, want zoals WhatsApp al aangegeven heeft is dit geen lek.

Immers dit is enkel mogelijk indien de gebruiker niet zijn privacy instellingen aangepast heeft. In dat geval is het identiek aan de functie van de WhatsApp app zelf. Immers als ik een contactpersoon in mijn gewone telefoon-adresboek heb of aanmaak, zal de app ook automatisch de contact-informatie downloaden van de servers van WhatsApp. Hoe dachten mensen anders dan dat dat werkte? _/-\o_

Ik kan dus ook willekeurige nummers toevoegen, en alle data wordt al sinds jaar en dag gedownload indien er een echt persoon achter zit. Welnu dat is in feite wat dit "lek" is.

Het adresboek van WhatsApp is expliciet nooit geheim geweest. Net zo min als het PTT telefoonboek dat vroeger was. Het adresboek van WhatsApp is een publieke database. Wellicht dat mensen dat niet besefen, en is dat meer het probleem.

Enige verschil is dat met een web API het makkelijker is. Vroeger was de API van de app niet gedocumenteerd, en dus niet zo makkelijk te gebruiken.

Moraal: pas je WhatsApp privacy gegevens aan (net zoals je vroeger je naam uit het telwfoonboek kon halen).
Sterker nog, ik heb zo'n "script" jaren terug al geschreven...
  • Je maakt gewoon (in mijn geval) een basic PHP-scriptje die een range aan telefoonnummers creëert.
  • Je slaat dat op als .CSV bestand (comma seperated values).
  • Je upload dat bestand als je contactpersonen in Gmail, Outlook, whatever je maar gebruikt.
  • Je synched je telefoon (met daarop WhatsApp) met die nieuw aangemaakte contactlijst.
  • Je wacht 5 seconden en opent WhatsApp.
  • Tada! Alle nummers die "herkend" werden zie je nu terug, inclusief (echte) naam, telefoonnummer, status en profiel-foto.
  • Optioneel - je backupped je hele WhatsApp naar de cloud, zodat je het later weer kan doorspitten via SQL, of wat dan ook..
Test CSV bestand
FirstNameLastName, Cell

UserName000, +316123456780
UserName001, +316123456781
UserName002, +316123456782
UserName003, +316123456783
UserName004, +316123456784
UserName005, +316123456785
UserName006, +316123456786
UserName007, +316123456787
UserName008, +316123456788
UserName009, +316123456789
Je echte naam krijg je toch niet te zien tenzij diegene jou een bericht stuurt (en dat is ook afhankelijk van wat diegene als naam ingesteld heeft)?
Ja, okay... ik bedoelde meer met "echte naam" de naam die de persoon heeft opgegeven bij WhatsApp (en meestal is dat de naam van de persoon in kwestie).

Dus je krijgt gewoon de meta-data terug die bij WhatsApp bekend is (behalve als je dat dus in je eigen privacy-settings hebt disabled (share (meta-) data with contacts only)).

In dat laatste geval krijg je bv. de avatar / status pas te zien als die persoon jouw weer heeft toegevoegd in zijn eigen WhatsApp-lijst.
Dus stuur je iedereen het berichtje

hoi!

Krijg je vanzelf terug 'hoi, wie ben jij?'

Of je zoekt de foto op via google met opdracht zoek op afbeelding -> facebook/LinkedIn match -> naam

[Reactie gewijzigd door djwice op 8 mei 2017 20:14]

Dat is dan weer iets meer werk, aangezien je (handmatig) al die berichtjes moet verzenden. Mischien is hier een ietwat stabiele onofficiële api voor?
Hoe doet de webversie het? ;)
Offtopic, maar een telefoonnummer is in Nederland nooit meer dan 10 cijfers. ;)
Nee hoor, schaf je tegenwoordig (sinds 2013) een tablet met een abonnement aan, krijg je een 12-cijferig 0970-nummer.
Interessant, dat is nieuw voor me.
Mijn reactie was puur op de voorbeelden. Als je +316123456780 ontleed, kom je op 06-123456780 wat een ongeldig 06-nummer is. Maar het is geheel offtopic zoals ik al aankondigde. O-)
Behalve als je het landnummer er voor zet..
Wat ook interessant om te melden is, is het feit dat WhatsApp wel actief hun netwerk monitort, en verdacht gedrag (dus bijvoorbeeld 50.000 contacten toevoegen) tegengaat door het WhatsApp account (en dus telefoonnummer) te blokkeren.

Dus ondanks het feit dat dit gewoon publieke informatie is, werken ze inderdaad scraping wel tegen dmv een ban. Als Loran Kroeze een stapje verder was gegaan had hij geen WhatsApp meer op zijn tel. kunnen gebruiken omdat zijn account verbannen zou worden.

Het scraping verhaal terzijde, het is wel een schande dat de privacy instellingen standaard zo "losjes" ingesteld staan. Wat nog erger is, is dat er geen privacy optie voor je online/offline status is. Je kan last seen aanpassen, maar dat weerhoudt WhatsApp er niet van om via een subscriber service je status uit te zenden naar elk random persoon (ongeacht of je in hun contactenlijst staat) te sturen. Jammer dan Loran hier dan weer niet op in gaat.

Bron: PoC verhaal van Sophos Nakedsecurity een jaar geleden

[Reactie gewijzigd door groezle op 8 mei 2017 19:32]

Dit is zeker wel een lek. Elke goeie webservice heeft rate-limiters en andere algoritmische controle op dit soort massaal leegtrekken van hun database. Bijvoorbeeld bij Linked-in houden ze scrapen op allerlei manieren tegen.

Als iemand een miljoen namen in zijn contacten lijst heeft staan.. dat moet er gewoon een alarmbelletje afgaan.

Helaas bleek bij het project "De Nationale Verjaardagskalender" al dat veel Nederlandse diensten eveneens geen enkele bescherming hebben tegen scraping.
Er zitten ook daadwerkelijk een controle mechanisme in WhatsApp, iets wat dit artikel totaal niet toelicht. Probeer maar eens 50.000 of 100.000 accounts te scannen, gegarandeerd dat je account verbannen wordt. Dit artikel bevat eigenlijk geen nieuwe informatie, zo zijn bv. de privacy opties een jaar geleden al veel beter en verdiepende uitgelegd door een ander PoC.
Waarom 50.000... zoiets zou beter op 500 staan (of nog beter alle privacy settings op My Contacts only).
Dat eerste niet. Ik heb bijvoorbeeld een netwerk met honderden mensen erin. Als ik WhatsApp zou installeren met zo'n laag limiet, zou ik er meteen afgetrapt worden; puur vanwege het pollen.

Dat laatste wel. Maar dat is discutabel. Beide instellingen zijn verdedigbaar. Mijn voorkeur gaat ook uit naar standaard "mijn contacten" of een privacy popup na installatie.
Dat netwerk heb je in één dag opgebouwd. Dat zou hij moeten herkennen wat mij betreft.

[Reactie gewijzigd door ATS op 9 mei 2017 11:00]

Op zich heb je gelijk dat het geen lek is, maar om de verantwoordelijkheid bij de gebruikers te leggen vind ik toch een brug te ver. De gemiddelde gebruiker is niet in staat de gevolgen van zijn privacy settings in the schatten. WhatsApp (en Facebook Ed.) zouden juist met zeer restrictieve settings moeten beginnen IPV zeer open instellingen. Dan is by default ieders privacy beschermd IPV enkel de privacy van tech savvy gebruikers die de instellingen wél aanpassen.

Overigens: het oude PTT telefoonboek is inderdaad open, maar daaruit kan ik geen profielen van gebruikers opmaken. Ik kan mijn instellingen perfect veilig hebben staan, maar als een aantal van mijn contacten hun vriendenlijst (op Facebook dan) niet goed geheim houdt, kan een adverteerder of aanvaller tóch een profiel van mij kunnen opstellen omdat ik wel in hun lijst voorkom.

[Reactie gewijzigd door MrSnowflake op 8 mei 2017 19:47]

het oude PTT telefoonboek is inderdaad open, maar daaruit kan ik geen profielen van gebruikers opmaken

Dat telefoonboek gaf/geeft je naam + adres + telefoonnummer.

WhatsApp geeft je telefoonnummer + profielfoto/status + optioneel online status

Is dat zo fundamenteel anders? Persoonlijk vind ik WhatsApp data overigens minder erg dan mijn naam of fysieke adres!

Wellicht dat het gebruik van online status je wat info geeft betreft online gedrag wanneer herhaaldelijk gepolst, maar dat kun je inderdaad uitzetten en ook al herhaaldelijk in het nieuws gekomen. En aangezien talloze WhatsApp gebruikers diezelfde info ook al bewust wereld-publiek maken via Facebook, Instagram, Twitter, etc ... O-)

Let wel, ik ontken het gevaar niet zozeer, maar het is niet nieuw of uniek voor WhatsApp. En WhatsApp is ook verre van het grootste gevaar. Alles via een rubberen tegel maatschappij dichttimmeren is niet de oplossing die ik zou voorstaan, al erken ik dat ze zat mensen zijn die privacy niet serieus genoeg nemen (naar mijn smaak).
En dat snap ik dan weer niet. Naam en adres is handig als je iemand wilt bereiken, terwijl je met profielinformatie vaak dingen ziet waarvan mensen niet beseffen dat je die kunt zien en die veel privéinformatie kunnen bevatten. In tegenstelling tot de gevel van hun huis die voor iedereen toch al zichtbaar was zeg maar.

[Reactie gewijzigd door mae-t.net op 9 mei 2017 04:04]

Deze vergelijking is krom, omdat juist het elektronisch kunnen verwerken van de gegevens een reden is waarom dit wel een probleem is.

Vroeger kon de politie, belastingdienst of gemeente Amsterdam ook met een mannetje kentekens opschrijven, telefonisch doorgeven aan de centrale, die kijkt in een multomap met kentekens die nog iets moeten betalen. Echter, dat is geen doen en dat is dan ook bij wet gewoon toegestaan.

Echter, met de hedendaagse techniek kun je miljoenen auto's die over een snelweg razen of geparkeerd staan in de binnenstad in een paar miliseconde door een database trekken en direct zien of dat kenteken nog een schuld heeft staan. De auto kan dan meteen worden weggesleept, bestuurder aangehouden, of wat dan ook.

Dat heeft dusdanig impact dat _dat_ wel verboden is bij wet. Kortom: Of je iets elektronisch verwerkt heeft gevolgen voor of iets mag of niet. Een telefoonboek met het handje uitpluizen en daarmee een persoonlijk adressenbestand aanmaken is dus toegestaan. Het zelfde op elektronische wijze doen is waarschijnlijk niet toegestaan.
Deze vergelijking is krom, omdat juist het elektronisch kunnen verwerken van de gegevens een reden is waarom dit wel een probleem is.

Ik vroeg me nog af of ik dat moest melden, maar het telefoonboek was ook electronisch te benaderen. Je kon de database bovendien kant en klaar kopen als je wilde.

Het verschil is echt flinterdun.
Het zou al niet zo moeten werken. Het gros van de mensen heeft geen idee wat aan te passen en hoe alles achter de schermen werkt en waar de data heengaat. Het is volstrekt onnodig om gelijk alle data in te zien wanneer je een telefoonnummer hebt. Zo werd ik met mijn Amerikaanse nummer ook moeilijk veel gespamt of legitiem bericht door vreemdelingen in New York, omdat ze klaarblijkelijk mijn nummer hadden staan, en zonder verificatie van de nieuwe eigenaar van dat nummer (ik) berichten mogen sturen en data mogen inzien.

Een veel nettere oplossing zou zijn om invites te hebben. Je selecteert iemand(en) uit je telefoonlijst en stuurt een verzoek. Op dit punt krijg je niets anders te zien dan wat jouw telefoonboek weergeeft. Vervolgens zijn er enkele opties die WhatsApp kan toepassen.

Stuur een invite naar de betreffende gebruiker via WhatsApp. Heeft deze gebruiker geen WhatsApp of wees hij/zij de invite af, informeer de partij die de uitnodiging verstuurde een dag later dat deze persoon niet op de uitnodiging heeft gereageerd. Zo laat je in het midden of de gebruiker je niet mag of geen WhatsApp heeft, zodat het lastig te indexeren valt wie er een gebruiker is.

In geen van deze gevallen is er extra data benodigd van beide gebruikers. De partij die de uitnodiging stuurt, stuurt enkel zijn/haar telefoonnummer mee (die vervolgens wel/niet matcht in het telefoonboek bij de uitgenodigde) en de uitgenodigde verstuurt, totdat hij/zij de invite accepteert, geen data die de uitnodigende partij niet al heeft.
Je snapt wel dat dit omslachtig is en absoluut niet past in het "no hassle drop-in SMS replacement" model van WhatsApp? Als je de facto buddy lists wil kan je beter iets anders gebruiken. :P De oplossing voor het "probleem" is er immers al en is veel eleganter: in WhatsApp gewoon even je privacy instellingen wijzigen en er is geen noodzaak meer voor zulk "moeilijk gedoe". ;)
De meeste WhatsApp gebruikers hebben helemaal geen zin in dat gedoe en steeds invites te krijgen, die willen gewoon dat t lekker simpel is en "it just works!".

[Reactie gewijzigd door WhatsappHack op 8 mei 2017 23:38]

Ja, vergelijk het met facebook (een pot nat, maar goed). Die biedt exact dezelfde functionaliteit: Even zoeken op een 06-nummer in het zoekboxje en de naam en profielfoto van diegene, indien openbaar, worden getoond. Ideaal 06-telefoonboek.

Lijkt me inderdaad geen hack. Even uitzoeken hoe dat met whatsapp werkt en ik heb een nog groter telefoonboek :)
Zal mij niets verbazen als dit al tijden misbruikt wordt.
En die API gaat niet over TLS?!!
Maakt dat uit in dit geval?
Dit is een van de redenen waarom ik niet aan WhatsApp wil beginnen. Zo'n automatische en directe koppeling met je telefoonnummer is veel te makkelijk te misbruiken.

Ik verwacht ook dat spam vroeg of laat een enorm probleem gaat worden voor WA. Het aantal telefoonnummers in de wereld is vrij beperkt en eenvoudig te enumeren. Het enige wat je nodig hebt is een telefoonnummer en die zijn ook vrij eenvoudig te vervalsen.

Dat Facebook niet om privacy geeft mag voor niemand een verassing zijn
Ik denk dat dat wel meevalt. Immers kan je al jaren alle telefoonnummers genereren en dan spammen via WhatsApp - maar er is geen spam probleem. (Net als dat het niet met SMS was, maar uiteraard heeft WhatsApp een wat lagere drempel.)

Het voordeel (zeker tov SMS) is dat WhatsApp wat beveiligingsmaatregelen heeft tegen spam.
Als bijvoorbeeld een nieuwe gebruiker opeens heeeeeel veel mensen tegelijk probeert te appen, dan kickt een throttle in en worden er mondjesmaat berichten afgeleverd. Het is dan natuurlijk de bedoeling dat mensen die 't ontvangen meteen klikken op de "Dit is spam!" knop die dan verschijnt (vanwege end-to-end encryptie kan bijvoorbeeld geen moderator het bericht lezen om het te beoordelen, dus dat moet echt vanuit de ontvangers komen.), en dan hebben ze bevestiging. Als meerdere mensen dat doen, dan wordt het account gewoon uit WhatsApp gelazerd met de melding dat het de voorwaarden heeft geschonden; en worden de berichten in de que verwijderd zodat honderden/duizenden mensen dat hele spam bericht niet eens meer ontvangen.

Daar houden ze ook weer IP-adressen van bij die op een blacklist worden geplaatst, dus die een "bad reputation" krijgen. Dus opnieuw aanmelden met een ander nummer vanaf hetzelfde IP en tjakka: je bent meteen verdacht, dus de throttle staat meteen al aan waardoor nóg minder mensen bereikbaar zijn. Voor spammers is dat erg vervelend, niet lucratief en is het eigenlijk zeer krachtige anti-SPAM.

False positives komen bijna nooit voor, omdat als een nieuwe gebruiker bijvoorbeeld een Verzendlijst maakt met "Hoi, dit is Pietje van Pietensteyn. Dit is mijn nieuwe nummer, graag de oude verwijderen. Dank u!" - dan zal waarschijnlijk bijna niemand het als SPAM gaan markeren; er zullen zelfs mensen zijn die het nummer gaan toevoegen aan het adresboek en voila: Pietje is blijkbaar een echte gebruiker, dus de throttle gaat er weer vanaf en Pietje is volwaardig WA gebruiker. (Doch, stel dat Pietje dan later opeens wél gaat spammen: dan nog kickt de throttle in omdat de ontvangers Pietje dan niet in hun adresboek hebben. Als Pietje besluit zijn EIGEN contacten die hem als legitiem zien (en hem hadden toegevoegd aan hun adresboek) te gaan spammen: daar is dan weer vrij weinig aan te doen. :P Maar dan is Pietje gewoon een lul, en blokkeer je hem handmatig. ;))

En zo zijn er wel meer maatregelen. Daarom heb je eigenlijk ook (bijna) nooit dat je spam krijgt via WhatsApp; ondanks dat dit soort spam natuurlijk al sinds jaar en dag mogelijk zou zijn op WhatsApp als ze geen beveiligingen hadden ingebouwd. (Net als dat dit dus met normale SMS mogelijk zou zijn. (En daar heb je vziw helaas helemaal geen throttles ;()

[Reactie gewijzigd door WhatsappHack op 8 mei 2017 18:55]

De aanname dat een lijst van telefoonnummers met data opstellen enkel voor spam gebruikt gaat worden is natuurlijk ook kortzichtig. In combinatie met andere data is dit juist wel interessant. Hier kan Facebook wellicht zijn eigen "wij mixen geen Whatsapp data met Feesboek data" regel omzeilen, omdat de gegeven data "openbaar" is, en ze dan kunnen stellen dat ze niets verzamelen wat anderen al niet kunnen inzien. Ik noem maar een aluhoedje scenario, niet dat ik enige illusie heb dat de twee applicaties al niet volop gegevens met elkaar uitwisselen, maar dat terzijde.
Tja... maar als jou moeder of vrienden wel wa gebruiken en jou telefoonnummer staat ertussen dan hebben ze jou nummer als nog... inc alle info die erbij staat vermeld zoals bv je naam email foto en andere gegevens...
Ik snap niet dat Facebook dit niet als een gigantisch probleem ziet!

In feite kan dus vrijwel iedereen (in theorie) een database maken met alle telefoonnummers die gekoppeld zijn aan Wattsapp.

Dat is een leuke lijst om te gebruiken voor spam o.i.d.
Ook is het fijn om te weten dat dus vrijwel iedereen inzicht kan krijgen in het gebruik van vrijwel elke wattsappgebruiker.

Facebook geeft hiermee weer eens aan dat ze privacy niet echt hoog op hun prioriteitenlijst hebben staan.
Maar t enige dat je daarmee kan is dan verifiëren hoeveel users op WhatsApp zitten? Immers kan je alle telefoonnummers ter wereld met een simpel scriptje genereren, die heb je zo. In principe kan je daarmee ook al zien wie WhatsApp hebben omdat ze dan in WhatsApp-client beschikbaar komen als nummers waarmee je kan appen. Dat is altijd al zo geweest omdat t zonder buddylist werkt, dus het lijkt me logisch dat dat ze echt geen ene moer kan schelen dat je dat kan achterhalen.
WhatsApp's model is immers een drop-in SMS replacement: als je 't nummer hebt, mag je ernaar appen. Simpel, en vanaf dag 1 zo gebouwd.

Dusja, telefoonnummers genereren voor spam kon al toen WhatsApp nog geeneens bestond; dus op basis van SMS of door te bellen. (Telemarketeers)
Dan kan je dit moeilijk opeens een probleem noemen als dat t eerder niet was (dit is dan een tekortkoming van telefoonnummers in t algemeen - niet specifiek van WA), t enige nadeel is dat ze naast bellen/smsen ook kunnen spammen via WA - maar ook dat kon natuurlijk al voordat deze API uberhaupt bestond. (Ik krijg verassend weinig spam via WA gelukkig. 1x per jaar is veel.) Het nummer hebben ze dan al, t enige dat ze meer kunnen is zien of t op WhatsApp zit of niet en of ze dus via WhatsApp kunnen spammen of niet - maar dat kan ook zonder deze API.

Het gebruik is niet te achterhalen, hoogstens *bij benadering* online tijden.

[Reactie gewijzigd door WhatsappHack op 8 mei 2017 18:20]

Exact!

Het adresboek van WhatsApp is expliciet nooit geheim geweest. Net zo min als het PTT telefoonboek dat vroeger was. Het adresboek van WhatsApp is een publieke database.

Vroeger in het telefoonboek stond er je naam + nummer + adres, nu staat er nummer + profielfoto/tekst + optionele online status.

Probleem is denk ik meer dat mensen dat niet beseften. Maar als je even nadacht hoe de eigen app op "magische" wijze die nummers én profilefoto's van je contactpersonen kreeg, had je het kunnen weten.

Om die reden raad ik ook altijd het volgende aan:
- gebruik geen profielfoto die je niet wereld-publiek wilt hebben. Als je echt paranoide bent gebruik desnoods een foto van een plant, auto, object,. etc
- pas je privacy instellingen aan in de WhatsApp instellingen.
Ik krijg verassend weinig spam via WA gelukkig. 1x per jaar is veel
Ikzelf heb zelfs nooit Spam ondervonden op whatsapp. Net als ik nooit meer Spam krijg (per mail). Ik dacht dat Spam in 99,99999% van de gevallen uitgefilterd werd.
helaas evolueren spammers ook. Het was een hele tijd rustig op mijn email maar nu hebben ze weer iets gevonden om de filters te omzeilen.
Welke mail client gebruik je? Ik heb sinds ik in de closed beta van Gmail zat (denk een dikke 10 jaar) geen spam meer gezien (allicht, in mijn spammap wel)...

[Reactie gewijzigd door Coffee op 8 mei 2017 21:26]

Outlook mailclient zowel op telefoon als PC/laptop met serverside spamfilter van KPN (oud planet adres) Ik heb recent even op aanraden van KPN de spamfilter even uitgezet en daarna opnieuw aan maar het heeft nog onvoldoende geholpen.

Ik heb het niet op de werk email adressen (niet zo veelvuldig iig)
Ik snap niet dat Facebook dit niet als een gigantisch probleem ziet!
Probleem? Dit is juist waar het ze om te doen is! Als dit niet zou kunnen, dat zou een probleem zijn voor Facebook!
Facebook geeft hiermee weer eens aan dat ze privacy niet echt hoog op hun prioriteitenlijst hebben staan.
:D
Dat lijkt me nogal voor de hand liggend, voor een bedrijf wiens main business model bestaat uit het monetizen van mensen hun privacy.
Dat facebook het zelf kan en wenselijk vind dat ze dat zelf kan wil niet zeggen dat ze het goed vinden als iemand anders dat ook kan, zeker als die dat kan zonder facebook te betalen.
Het past perfect in de filosofie van Facebook: een open society waar iedereen alles van elkaar weet, en het concept "privacy" niet bestaat. Wel heeft Facebook wat privacy features ingebouwd, omdat de normale mens waarde hecht aan privacy, maar dat is dan ook meteen de enige reden.
Dit gerucht was al langer bekend. Nu dat het in het openbaar onderbouwd besproken word kan ik alleen maar toe juichen :D Zodat ze kaders kunnen stellen en hopelijk dit soort problemen gaan fiksen

[Reactie gewijzigd door DigitalTux op 8 mei 2017 22:55]

Facebook geeft hiermee weer eens aan dat ze privacy niet echt hoog op hun prioriteitenlijst hebben staan.
Inkoppertje... http://imgur.com/a/BG2RF
Het is een oud probleem. Niet alleen bij Whatsapp maar ook bij talloze andere messengers. Zelfs zonder de API te kennen was het al mogelijk om een scriptje te schrijven dat je Android Contacts vol gooit met willekeurige nummers, een synchronisatie van de messenger app triggered en wacht op de status updates. En repeat.

Volgens mij kan je daar ook niet zoveel tegen doen, tenzij je elk contact zelf moet gaan autoriseren, net zoals op Facebook zelf. Daarmee haal je echter het grootste voordeel van WhatsApp behoorlijk onderuit. Ik denk zelf dat Facebook hier de beste weg bewandelt: weten dat deze vorm van misbruik mogelijk en het de kop indrukken wanneer het zich voordoet.

Ik vermoed zomaar dat er echt wel triggers zitten op het aantal calls dat een WhatsApp client maakt. En dat bij een exorbitant aantal calls je account geblokkeerd wordt.
Deja vu? https://nakedsecurity.sop...ck-when-youre-online/amp/

Maar was dit niet altijd al mogelijk dmv de api? Had zelf ooit nog het idee om collega's te gaan tracken hoe lang ze op Whatsapp zitte te spelen tijdens werk :D

Kan het artikel niet meer vinden op internet maar dit kan volgends mij best lang
Het specifieke artikel dat je linked gaat in op het feit dat de privacy instellingen binnen de app niet doeltreffend genoeg zijn. Je kan je laatst zien wel op "niemand" zetten, maar dan kan alsnog een willekeurig persoon jouw online/offline status uitlezen (en wat nog erger is: dit kan dmv 1 whatsapp account om zo van meerdere mensen tegelijk de status op te vragen zonder in jouw contacten lijst te staan).

Het PoC die bij dat probleem is gemaakt slaat inderdaad ook gewoon alle profielfoto's op etc. van de WhatsApp gebruikers. Degene die dat PoC heeft gemaakt gaf ook aan dat Facebook wel actief het netwerk van WhatsApp monitort, en je dus geen miljoenen telefoonnummers kan opvragen omdat je dan gegarandeerd gebant wordt. Het artikel hierboven is dus inderdaad waar, maar de impact is beperkt omdat je gegarandeerd gebant wordt als je veel telefoonnummers gaat opvragen (probeer maar met je eigen telefoon eens 50000 nummers op te vragen: dat wordt een ban).

[Reactie gewijzigd door groezle op 8 mei 2017 19:33]

Die tool is erg fraai inderdaad, werkt niet meer, maar lijkt precies op hetgeen waar het hier over gaat.
Dit is hetzelfde probleem als met WhatsApp-status wat al een tijdlang bekend is; als iemand je nummer heeft kunnen ze dat uitlezen tenzij je het dicht zet.

Dat staat overigens ook duidelijk beschreven in de voorwaarden dat je het PUBLIEK deelt, maar je mag het uitzetten als je het niet wilt. (Instellingen - Account - Privacy)
Logisch dus dat WhatsApp/Facebook het niet als lek ziet, maar als feature waar de gebruiker zelf op gewezen is.

Het enige dat wel een probleem is, is als er blijkbaar geen throttle op zit.
Dat zal technisch waarschijnlijk wat lastiger zijn, immers een nieuwe WhatsApp-gebruiker moet zonder gezeik van iedereen die data kunnen ophalen (voor zover toegestaan door privacy instellingen van die gebruiker). Al kunnen ze daar misschien een window voor inbouwen (eg: net geactiveerd? Okee, dan kan je tijdelijk veel meer in 1x binnenhalen), maar dat valt vast ook te misbruiken als iemand vervelend doet.

Ergo: gewoon je privacy instellingen tenminste op "Mijn Contacten" zetten en je zit helemaal veilig. :) Is sowieso aan te raden om alles in Privacy daar op te zetten, dus als je dat niet gedaan hebt: mooi moment om dat nu wel ff te doen. ;)


-edit- Typo fix!

[Reactie gewijzigd door WhatsappHack op 8 mei 2017 19:23]

Lekker makkelijk gezegd natuurlijk, maar dit is gewoon een beveiligingsissue, klaar. De privacy van je gebruikers wil je waarborgen, al heeft Facebook daar natuurlijk niet zo veel behoefte aan. Dat zij dit niet als beveiligingsrisico zien is daarom niet verrassend te noemen.

Dit is ook niet goed te praten of te bagatelliseren, zoals jij doet. Het is geen feature. Ik wil niet dat mensen die ik niet ken mijn gegevens op kunnen vragen. Nu zijn een aantal mensen hier wel alert op en passen zij deze instellingen aan in Whatsapp, maar 99% van de gebruikers zal dit niet wijzigen, die wil alleen berichtjes sturen met vrienden/familie of de buurtpreventie.

Weer een mooi voorbeeld van opt-out die Facebook/whatsapp toepast in plaats van opt-in op een "feature" die niet eens zou moeten bestaan.

Als dit met een api raad te plegen is hoef ik dus maar een tool te hebben die dit kan en ik kan een compleet 06-bestand in laten lezen. Daar krijg ik mogelijk informatie uit zoals naam, profielfoto en andere gegevens. Die profielfoto's kan ik dan bekijken en zo kan je lekker aan 't stalken gaan. Om maar een zijstraat te noemen. Zo zijn er nog meer "mogelijkheden" die deze "feature" biedt.

Het is eeuwig zonde dat heel Nederland al zo verkocht is aan facebook/whatsapp dat je er onmogelijk van af komt, maar apps zoals Signal of betaalde (eng woord) apps zoals Threema gaan toch een stuk beter om met mijn gegevens dan dat Whatsapp dat doet.

[Reactie gewijzigd door JanW op 8 mei 2017 18:10]

Lekker makkelijk gezegd natuurlijk, maar dit is gewoon een beveiligingsissue, klaar.
Ik ben het er niet mee eens dat het een beveiligingsissue is, het voldoet wmb niet aan de voorwaarden; maar daarnaast ook gezien er heel duidelijk staat:
... profielnaam en -foto, online status en statusbericht, de 'Laatst gezien'-status en leesbewijzen kunnen beschikbaar zijn voor iedereen die onze Diensten gebruikt, al kunt u uw instellingen van onze Diensten aanpassen om bepaalde informatie die beschikbaar is voor andere gebruikers te beheren.
Dat niemand de voorwaarden leest is weer een ander verhaal, maar dat kan je ze niet aanrekenen. Ik vind het er behoorlijk helder staan.
Daarnaast staat het ook nog eens vermeld in de FAQ, inclusief instructies erbij hoe je 't kan wijzigen: https://www.whatsapp.com/faq/nl/android/23225461
Het staat dus dubbel en dwars vermeld!
De privacy van je gebruikers wil je waarborgen, al heeft Facebook daar natuurlijk niet zo veel behoefte aan.
Waarom zou Facebook er geen behoefte aan hebben?
Gebruikersdata beschermen is voor Facebook van levensbelang, anders hebben ze geen unique selling point. Het punt is alleen dat dit niet al te boeiende informatie is.

Waarom is het bij WhatsApp wel een beveiligingslek (nogmaals: ik vind 't sowieso niet kwalificeren als daadwerkelijk lek in de beveiliging), maar op Facebook, Google+, LinkedIn, mySpace, Twitter, et cetera is al deze informatie geen probleem; terwijl daar dezelfde instellingen de standaard zijn? Dat vind ik raar.
Schrijf ze dan ook allemaal aan. :P Dan moet je gewoon een algemeen bericht tikken dat al die bedrijven hun standaard instellingen slecht zijn. (En daar zou ik vinden dat je nog best wel een punt hebt hoor! Ik ben er namelijk absoluut voorstander van om alles standaard DICHT te zetten in plaats van OPEN. Maarja, social media draait natuurlijk ook wat meer om open; hoe meer accounts open zijn (zeker op Twitter/Instagram bijvoorbeeld): hoe beter voor die toko's. :) Maar op dat punt zijn we het zeker eens met elkaar. (Denk ik? :)))

Sterker nog: op een behoorlijk aantal Tweakers profielen is 't in principe al een probleem.
Als je (rustig, want geen idee wat voor throttles Tweakers heeft server-side ;)) alle profielen gaat opvragen (https://tweakers.net/gallery/*) - dan krijg je waarschijnlijk ook van behoorlijk wat mensen hun volledige naam en zelfs email-adres te zien! Kan je ook een database van aanleggen. Die info staat hier ook publiek, open en bloot - tenzij je het weglaat. (Bij WhatsApp moet je 't ook eerst instellen, overigens!)
Is dat dan ook een beveiligingslek...? Nee toch? Is ook gewoon een feature.
En bij WhatsApp krijg je er helemaal geen namen uit. ;) Tenzij iemand z'n naam in de Status heeft gezet. (Maar de meeste mensen hebben nog gewoon "Hey there! I'm using WhatsApp." :+)
Dit is ook niet goed te praten of te bagatelliseren, zoals jij doet. Het is geen feature. Ik wil niet dat mensen die ik niet ken mijn gegevens op kunnen vragen.
Prima, dan je Privacy instellingen op "Mijn Contacten" of "Niemand" zetten dus.
Problem solved! Net als dat je je Facebook profiel moet dichtzetten voor "alleen vrienden", je LinkedIn profiel je foto moet verbergen voor iedereen behalve contacten (tenzij je ge-recruit wil worden), je Twitter account op privé zetten, et cetera.

Ik zie het oprecht niet als probleem en wel degelijk als feature. Het wordt vermeld, je kan het zo aanpassen. Done. Ik heb het al jaren dicht staan. :/
Dat mensen dan misschien te lui zijn om dit te lezen: tja. Dat is een terugkerend probleem, maar ik ben van mening dat je dat al die bedrijven niet kan aanrekenen; net als dat je het niemand kan aanrekenen dat een bedrijf bijvoorbeeld ¤2000 durft te vragen voor een product van ¤50; en je nog mensen hebt die 't dokken ook. Niet lezen, niet kijken, maar wel instemmen dat je die info publiek deelt en vervolgens de privacy instellingen niet aanpassen?
Ja sorry, eigen schuld hoor - moet je niet achteraf gaan klagen. (Al zal 't de meeste mensen waarschijnlijk geen hol boeien, maar dat terzijde.)
Daar krijg ik mogelijk informatie uit zoals naam, profielfoto en andere gegevens.
Enkel de gegevens die ik hierboven citeerde uit de voorwaarden en FAQ zijn beschikbaar ALS je de privacy instellingen niet hebt gewijzigd.

[Reactie gewijzigd door WhatsappHack op 8 mei 2017 19:02]

Dan kan je het hele bestaan van telefoonnummers ook een lek noemen. Immers kun je gewoon een generator maken die alle telefoonnummers genereert. Dus je laat de generator het volgende doen: genereer eens voor mij een 06-nummer dat bestaat uit 10 cijfers. Vervolgens kun je dit massaal importeren naar je contactenlijst, en je ziet zo wie er WhatsApp heeft en wie niet. Degene die die privacy-instellingen dus niet goed heeft staan, is dus sowieso al de sjaak. Ongeacht op welke manier je dit doet (deze, of 'mijn' manier).
Is dat echt zo? Het verhaal uit het artikel klinkt alsof de api dit kan zonder daar toestemming voor te verlenen.
Je geeft toestemming het publieke info te maken als je je aanmeldt. Je kan er vervolgens voor kiezen oa geen foto en status op te geven; of dit wel te doen en dan in Privacy alles dichtzetten. (Helemaal uit of "alleen contacten") Standaard staat het open. (Dat is discutabel, maar bijv op Facebook/LinkedIn/Google+ etc. ook de standaard; dus in principe daar ook "kwetsbaar", alleen hier makkelijker op te halen omdat t op basis van nummers werkt)

Als je het dichtzet in je privacy instellingen werkt deze API dus niet meer voor mensen die niet in je lijst staan of voor niemand als je t zo instelt, zoals ook in t artikel staat.

[Reactie gewijzigd door WhatsappHack op 8 mei 2017 17:59]

Naar aanleiding van dit bericht ben ik het voor mijzelf gaan aanpassen. Het stond echter al op "mijn contacten" dus ik denk dat dit standaard is.
Dan heb je dat denk ik eerder ingesteld. :)
Ik heb net ff een nieuwe account aangemaakt, en daar is de default "Iedereen" met uitzondering van de Status functie. Die staat standaard op "Mijn contacten".
Verstandig van mij, helaas compleet vergeten dan 8)7 . Goed dat je het gecheckt hebt!
Dank voor de toelichting!
Dat dit bij individuele nummers gebeurd vind ik nog niet zo gek, maar dat Facebook dit niet als een probleem ziet bij een geautomatiseerd script is wel wat anders. Zo kun je vrij makkelijk aan vertrouwelijke gegevens van personen komen. Vaak naam/tel nr/ foto, daar kun je als dataverzamelaar toch behoorlijk veel mee.
Ik moet overigens toegeven dat ik de functie om dit te verbergen niet eens kende.
Dan heb je vast ook nog nooit in de privacy instellingen van whatsapp gekeken? ;)
Wel op gsm, niet op het web.
De instellingen op je toestel zijn wat uitmaakt. Web iets niets meer dan een interface met een socket naar je mobiel, je mobiel handelt alles verder af en beheert je (privacy) instellingen.
Is dit niet dezelfde data die terug gestuurd wordt naar de Whatsapp app en getoond wordt in de UI als je een nieuw iemand als contact toevoegt? Zoja, buiten het punt dat je het zo makkelijker kan verzamelen, biedt dit dus niet meer data aan dan rechtstreeks vanuit je contacten lijst.

[Reactie gewijzigd door Caayn op 8 mei 2017 17:41]

Precies, het enige is dat het met de web API nu groot schaliger gedaan kan worden, alwaar het eerst een ongedocumenteerde API was.

Dat is overigens wel enige reden tot zorg. Echter er is kans dat er reeds een soort rate-limiter op zit (X requests per Y tijd) ivm crawlers.


Om te kunnen reageren moet je ingelogd zijn



Nintendo Switch Samsung Galaxy S8+ LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One (Scorpio) Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True

*