Telecomapplicatie lekt contactgegevens en berichten (11/05/17)

On-page link, opens in this window Beoordeling
On-page link, opens in this window Organisatie
On-page link, opens in this window Betrokkenen
On-page link, opens in this window Soort (persoons)gegevens
On-page link, opens in this window Type incident
On-page link, opens in this window Omschrijving van het incident
On-page link, opens in this window Respons van de organisatie
On-page link, opens in this window Bronnen
On-page link, opens in this window Gerelateerde incidenten

Beoordeling

★★ (de informatie over het datalek komt uit meerdere bronnen)

Organisatie

WhatsApp.

Betrokkenen

Gebruikers van WhatsApp.

Soort (persoons)gegevens

"[...] namen van gebruikers, telefoonnummers en zelfs hele chatberichten [...]" (WebWereld, 11/05/19)

Type incident

Inbreuk op de vertrouwelijkheid van de verwerkte gegevens.

Omschrijving van het incident

Het is relatief eenvoudig om gegevens van het populaire sms-alternatief WhatsApp af te luisteren. Het lijkt het alsof de dienst https gebruikt, maar dat is niet zo. [...] WhatsApp verstuurt namen van gebruikers, telefoonnummers en zelfs hele chatberichten onversleuteld het internet over. De sms-vervanger is daardoor eenvoudig af te luisteren door iemand die een netwerk sniffer gebruikt, zo tipt een lezer aan Webwereld. Hij kwam achter deze gegevens toen hij wilde uitzoeken wat KPN met DPI van zijn WhatsApp-gebruik kon zien. Webwereld kan de bevindingen van deze lezer, die anoniem wil blijven, reproduceren. Met een tool als WireShark, die al het netwerkverkeer op één netwerk logt, is het verkeer eenvoudig af te luisteren voor wie het IP-adres van de WhatsApp-server weet. Dat verkeer lijkt in eerste instantie versleuteld met https. Toch is dat maar schijn. Het verkeer gaat wel over poort 443, die gereserveerd is voor https, maar blijkt niet gecodeerd. Zo is duidelijk te zien wat het telefoonnummer van de gebruiker is (met internationaal toegangsnummer en zonder nul), met wie die aan het chatten is en ook wat het mobiele telefoonnummer van de gesprekspartner is. Het gegevenslek van WhatsApp gaat echter verder dan dat. Ook de tekst van verzonden en ontvangen chatberichten zelf blijkt namelijk in plain text over het internet verzonden te worden. Een kwaadwillende die in het netwerk zit te roeren kan zo eenvoudig namen, telefoonnummers en mogelijk gevoelige berichten zien. Samenvoegen is bij ontvangen berichten zelfs niet nodig, daar wordt de gebruikersnaam en het telefoonnummer in herhaald. Dat geldt alleen als een aanvaller ook op hetzelfde draadloze netwerk als een gebruiker van WhatsApp zit. Dat netwerk moet bovendien onbeveiligd zijn. In een vertrouwde omgeving is de kans dat een kwaadwillende iemand afluistert erg klein. Wie werkt op een hotspot op bijvoorbeeld een treinstation of in een café is wel zeer vatbaar voor zo’n aanval. Ook met behulp van een ‘ evil twin’, een malafide WiFi-netwerk met de naam van een bonafide netwerk, kan een kwaadwillende deze aanval uitvoeren. Hij moet dan overigens wel de pakketten doorsturen naar internet. De gebruiker kan anders in eerste instantie namelijk geen contact maken met de server van de chatapplicatie." (WebWereld, 11/05/19)

Respons van de organisatie

"WhatsApp laat in een reactie aan Webwereld weten dat het bedrijf 'sterk gelooft in privacy en vrijheid van haar gebruikers'. WhatsApp zegt het probleem te gaan onderzoeken en wil er op dit moment verder geen commentaar op leveren. Aan tipgever 'Quirinius' stelt het bedrijf echter dat het op de onderliggende netwerken vertrouwt voor encryptie. Zelf versleutelen zou niet nodig zijn, omdat het bedrijf zelf geen contactgegevens of gesprekken opslaat." (WebWereld, 11/05/17)

Bronnen

Eerste publicatie:
Off-site link, opens in new window Eva & Quirinus: Whatsapp sends contact info and messages in plain text (11/05/17)
Off-site link, opens in new window WebWereld: WhatsApp lekt 06-nummers en chatberichten (11/05/19)

Zie verder:
Off-site link, opens in new window Nu.nl: Verkeer WhatsApp niet versleuteld (11/05/19)
Off-site link, opens in new window PrivacyNieuws: Gegevens WhatsApp makkelijk onthuld (11/05/19)

Gerelateerde incidenten

11/05/20:
Off-site link, opens in new window GeenStijl: WhatsApp. Nu NOG lekker! (11/05/20)
Off-site link, opens in new window PrivacyNieuws: Fout in verificatiecheck Whatsapp maakt meelezen berichten mogelijk
Off-site link, opens in new window Tweakers.net: Fout in verificatiecheck Whatsapp maakt meelezen berichten mogelijk (11/05/21)
Off-site link, opens in new window WebWereld: Accountkaping via nieuw lek in WhatsApp - update (11/05/21)

11/05/26:
Off-site link, opens in new window Tweakers.net: WhatsApp slaat berichten onversleuteld op (11/05/26)
Off-site link, opens in new window Nu.nl: Berichten WhatsApp onversleuteld opgeslagen (11/05/26)

Zie verder:
Off-site link, opens in new window WebWereld: AIVD - Whatsapp niet geschikt voor overheidsgebruik *UPDATE* (11/05/26)



Creative Commons License

Al het oorspronkelijke werk op deze website © 2001-2011 D9D1E2.COM. Op dit werk is een Creative Commons Licentie van toepassing.