De webversie van WhatsApp bevat een onbeschermde API waarmee je eenvoudig data kan opvragen. De Nederlander Loran Kloeze heeft de kwetsbaarheid in WhatsApp ontdekt.
Whatsapp profielen
In de praktijk blijkt het eenvoudig om telefoonnummers, profielfoto’s en de statusinformatie van WhatsApp-gebruikers te verzamelen op een grote schaal. Door een onbeschermde API Voor WhatsApp Web is het mogelijk om zowel de status als profielfoto van bijna ieder telefoonnummer te bekijken. Het is hiervoor niet nodig om het nummer eerst in je contacten op te slaan.
Kloeze heeft een script geschreven welke de WhatsApp Web gebruikt om de informatie eenvoudig op te vragen. Het script kan eenvoudig de informatie van honderden nummers tegelijk opvragen.
De onderzoeker heeft de problemen gemeld bij WhatsApp, maar het bedrijf ziet dit niet als een groot. De gebruiker kan zelf bepalen voor wie de status of profielfoto zichtbaar zijn. Standaard staat deze instelling op ‘iedereen’
