De app Whisper, bedoeld voor het anoniem delen van geheimen, lekte jarenlang gegevens via een gat in de beveiliging.
Dat blijkt uit onderzoek van The Washington Post. Gebruikersgegevens werden verzameld in een database die niet met een wachtwoord beveiligd was, waardoor iedereen hem kon bekijken.
In de database stonden niet de echte namen van gebruikers, omdat deze bij het aanmaken van accounts ook nooit zijn gevraagd. Maar de locatie, leeftijd, etniciteit, gebruikersnaam en het type lidmaatschap waren wel in te zien. Op basis hiervan kon een poging worden gedaan om de ware identiteit van een plaatser van een bericht te achterhalen.
Whisper verscheen in 2012 en was een korte hype bij bedrijven en op scholen, waar medewerkers en studenten roddels anoniem via de app deelden. Anno 2020 zou de app maandelijks nog steeds door 30 miljoen mensen worden gebruikt.
De database liet persoonsgegevens gekoppeld aan in totaal 900 miljoen berichten zien. Hierdoor was informatie te achterhalen over wie specifiek ieder bericht in de app had geplaatst.
Volgens The Washington Post zijn lokale autoriteiten en Whisper op de hoogte gebracht van de situatie. Inmiddels is de database niet meer inzichtelijk.
Het datalek brengt ook een ander schandaal aan het licht. In 2014 kwam Whisper onder vuur te liggen wegens het verzamelen van locatiegegevens, die volgens de ontwikkelaar nodig zijn om de authenticiteit van berichtenplaatsers te verifiëren. Uit de gelekte gegevens blijkt echter dat locatiedata zelfs in 2020 nog op grote schaal wordt verzameld.