Gsm-nummer van 3,2 miljoen Belgen ligt op straat na lek bij WhatsApp: ‘Oplichters kunnen hier overtuigend mee werken’

WhatsApp heeft door zijn end-to-end-encryptie het imago vrij betrouwbaar te zijn. Hoe kon iemand dan toch zoveel gegevens verkrijgen?

“De Amerikaanse website Cybernews deelde inderdaad een bericht van iemand die op een forum gsm-nummers aanbiedt, maar het is niet zeker of het om een nieuw datalek gaat. Het is bijvoorbeeld ook mogelijk dat de nummers samen met andere gegevens uitlekten, maar dat ze nu pas apart worden aangeboden. Een andere mogelijkheid is dat de aanbieder de gegevens verzamelde via scraping. Dat is een vrij eenvoudige techniek waarbij software informatie die ergens op het internet beschikbaar is, verzamelt en op een gestructureerde manier weergeeft. Het gaat dus niet om hacken, maar legaal is het natuurlijk ook niet.”

Waarom zijn de gsm-nummers interessant voor kopers?

“De gegevens staan zelden in de reguliere telefoongids en fraudeurs weten dat er achter die nummers effectief een mens schuilgaat. Daardoor kunnen ze gebruikt worden voor smishing en vishing, waarbij oplichters mensen respectievelijk via tekst- en audioberichten in de val proberen te lokken. Denk aan een bericht waarbij ze zich voordoen als het kind van hun slachtoffer en vragen om snel wat geld over te schrijven. Zeker als ze hun best doen om te achterhalen wie precies de eigenaar van het nummer is, kan dat overtuigend werken. Het hele systeem is erop gebaseerd om je geld af te luizen.”

Meta, het moederbedrijf van WhatsApp, kreeg maandag een boete van 265 miljoen euro nadat de gegevens van 553 miljoen Facebookgebruikers door scraping uitlekten. Welke impact heeft dit nieuwe lek?

“Het is natuurlijk altijd slecht voor de reputatie van een bedrijf als een dergelijk geval voorkomt en de schade neemt toe als het meerdere keren gebeurt. Gebruikers van WhatsApp kunnen zo het signaal krijgen dat ze beter naar berichtendiensten als Telegram of Signal overstappen. Toch denk ik dat Meta wel degelijk sterk inzet op veiligheid en dat er de voorbije jaren al veel gebeurde op dat domein. Het bedrijf heeft daar geen zwakkere positie in dan andere techbedrijven, al kan je altijd extra maatregelen nemen. Scraping gaat bijvoorbeeld in tegen de voorwaarden van Facebook en Whatsapp, en toch kunnen mensen het erg makkelijk doen.”

Kunnen we commerciële bedrijven wel vertrouwen om zoveel vertrouwelijke gegevens te bewaren?

“Ik denk dat daar een probleem zit: we geven vandaag te veel van onszelf weg en het is te laat om dat terug te draaien. Op lange termijn kan ik alleen maar hopen dat we naar een situatie evolueren waarbij mensen zelf meer beheren welke gegevens ze aan bedrijven weggeven. Zoals een virtuele kluis waarbij je bewust kiest wat je eruit wilt halen. Er moet sowieso een groter bewustzijn rond komen. Bij het keuzemenu op websites klikken mensen zo vaak op de optie om alle cookies te accepteren, terwijl ze niet goed beseffen wat dat precies inhoudt. Bedrijven moeten daar zelf ook op een transparantere manier over communiceren.”

In welke mate is het wenselijk dat de overheid die transparantere communicatie afdwingt bij techbedrijven?

“Ik denk dat een inspanning van de overheid sneller voor een strakker beleid kan zorgen. Sinds de invoering van de GDPR-wetgeving in 2018 gaan bedrijven bijvoorbeeld ook op een andere manier met data om. Die Europese wet heeft een impact gehad op de hele wereld, want verschillende multinationals hebben hun algemene beleid eraan aangepast. Hoe meer de overheid kan doen, hoe beter.”