Gelekte Belgische WhatsApp-data komen uit oud datalek (update)
Safeonweb waarschuwt dat er 3,2 miljoen Belgische WhatsApp-gegevens online worden aangeboden. Maar die zijn afkomstig uit een oud datalek uit 2019. De data duiken regelmatig opnieuw op.
Deze week waarschuwde Safeonweb, een initiatief van het CCB, dat er ongeveer 3,2 miljoen WhatsApp-nummers en gebruikers-ID’s worden aangeboden op een forum op het dark web. Dat vergroot de kans dat Belgen het doelwit worden van oplichting via WhatsApp of per telefoon.
Maar voor wie de recente geschiedenis kent, klinkt het cijfer van 3,2 miljoen een beetje bekend. Zo dook er in februari 2023 al het nieuws op dat er een database van 487 miljoen WhatsAppgebruikers werd aangeboden, waaronder 3,2 miljoen Belgen (3.183.584 om exact te zijn). Dat kwam uit een database die in 2022 circuleerde op een hackersforum.
Die data is in realiteit nog ouder want in 2021 dook ook al het nieuws op dat er een gegevens van een half miljard mensen op een hackersforum circuleerden. Toen ging het om 533 miljoen Facebookgebruikers van wie (onder meer) hun naam en telefoonnummer circuleerden. Er was sprake van 533 miljoen mensen waaronder 3.183.584 miljoen Belgen, exact hetzelfde aantal Belgen als het lek waarover in 2023 werd bericht.
Van Facebook naar WhatsApp
Het voornaamste verschil is dat het om data van Facebook in plaats van diens dochterbedrijf WhatsApp gaat. Ook zijn de ‘nieuwe’ aangeboden gegevens iets kleiner (487 miljoen tegenover 533 miljoen gebruikers). Maar zeer waarschijnlijk gaat het om een opgekuiste versie van het originele bestand, bijvoorbeeld zonder dubbele gegevens of gefilterd op correcte namen en telefoonnummers die ook een Whatsapp-account hebben.
Het CCB zegt aan Data News dat dat zeker niet uitgesloten is. Het heeft de bewuste gegevens niet zelf ingekeken of gedownload, maar bevestigt dat het niet zo moeilijk is om telefoonnummers via een lek bij Facebook te herverpakken als gegevens van WhatsApp-gebruikers, omdat het de facto om dezelfde gegevens gaat. Intussen zegt ethisch hacker Inti De Ceukelaire dat het wel degelijk om herverpakte gegevens gaat.
Dat maakt de waarschuwing van het CCB daarom niet minder nodig. Telkens zo’n database circuleert, tegen betaling of gratis, bestaat de kans dat oplichters ze bemachtigen. Dat kan zorgen voor telefoons of berichten om je geld te ontfutselen. Dat kan gaan om telefoontjes ‘van de bank’ of ‘van Cardstop’ waarbij een mens of een robotstem je probeert te overtuigen om een betaling uit te voeren, of om codes te geven van bijvoorbeeld Itsme of andere logins.
Data uit 2019, mogelijk door Facebook zelf gelekt
Maar de tijdlijn van het datalek stopt niet in 2021. Toen die gegevens opdoken klasseerde Facebook (intussen Meta Platforms) het als oud nieuws en zei het dat het om data ging die in 2019 werd ontvreemd via een zwakke plek in haar systeem. Dat probleem is sindsdien opgelost.
Wat Facebook er toen niet bijvertelde is dat het zeer waarschijnlijk zelf nalatig was in het veilig houden van haar platform. Data News vroeg destijds meermaals om details over de bewuste zwakke plek maar kreeg daar geen antwoord op, ook al vormde het toen geen risico meer.
De meest waarschijnlijke optie is dat het gaat om een functie in Facebook waarmee je relatief makkelijk telefoonnummers kon achterhalen. Facebook liet lange tijd toe om iemands nummer op te geven en je kreeg het account dat er aan gekoppeld was. Maar daar stond nauwelijks een limiet op, waardoor je willekeurige cijfercombinaties kon ingeven en kijken op wiens naam/profiel dat uitkwam.
Dat werd in januari 2017 al aangetoond door de Belgische ethische hacker Inti De Ceukelaire, die zo onder meer het telefoonnummer van Jan Jambon kon achterhalen. De Ceukelaire lichtte toen Facebook in, maar het probleem werd pas ten vroegste een jaar later in stilte opgelost. Meerdere vragen over dat probleem, wanneer het werd opgelost en de link met data die in de jaren nadien circuleerden werden niet beantwoord.
Samengevat lijkt het er op dat de Belgische WhatsApp-gegevens die vandaag circuleren al tenminste sinds 2022 op het internet worden aangeboden. Zeer waarschijnlijk vloeien ze verder uit een database die in 2019 voor opdook, die waarschijnlijk rond 2017-2018 werd verzameld bij Facebook.
Dat maakt het niet minder gevaarlijk, de kans dat uw naam of telefoonnummer sindsdien is gewijzigd is immers klein. Maar het nuanceert wel dat een groot datalek in de eerste plaats een oud datalek is, maar dat wat lekt op het internet, ook jaren nadien blijft opduiken.
Update 23/8/2024:
Ethisch hacker Inti De Ceukelaire zegt dat het wel degelijk om een herverpakking gaat van de oude data. Hij sprak met de aanbieder die bevestigt dat het niet om nieuwe gegevens gaat. Het artikel is licht aangepast om dat te duiden.
Fout opgemerkt of meer nieuws? Meld het hier