Whisper, een anonieme mobiele app voor het delen van geheimen die meer dan een half decennium geleden bekendheid kreeg, heeft jarenlang onbedoeld gevoelige informatie over zijn gebruikers openbaar gemaakt via een openbare online database, zo blijkt uit een nieuw rapport van The Washington Post.
De app, hoewel lang niet zo populair als het was in de paar jaar na de release in 2012, wordt nog steeds gebruikt door meer dan 30 miljoen mensen per maand, van wie sommigen jonger zijn dan 18 jaar en bekentenissen delen over seksuele tienerontmoetingen en informatie met betrekking tot seksuele geaardheid. Volgens The Post, die actief in staat was om de database in real time te bevragen voordat Whisper het uit de lucht haalde, leverde een zoekopdracht naar gebruikers die zichzelf opgaven als 15 jaar oud maar liefst 1,3 miljoen resultaten op.
De database bevatte geen echte namen, omdat Whisper was ontworpen om de identiteit van gebruikers te beschermen en hen in staat te stellen anoniem geheimen te delen. Maar de records die onbeschermd online werden gelaten bevatten informatie zoals leeftijd, locatie, etniciteit, woonplaats, in-app bijnaam, en lidmaatschap van een van de groepen van de app.
De records bevatten niet alleen huidige gebruikers, ook niet. Volgens beveiligingsonderzoekers Matthew Porter en Dan Ehrlich, die het bedrijf Twelve Security leiden, bevatte de database bijna 900 miljoen gebruikersrecords vanaf de release van de app meer dan acht jaar tot op heden, meldt The Post. Porter en Ehrlich zeiden dat ze de federale politie op de hoogte brachten van de situatie, evenals Whisper, voordat ze contact opnamen met The Washington Post. Pas toen The Post contact opnam met MediaLab, het moederbedrijf van Whisper, werd de database privé gemaakt.
“Dit is een grove schending van de maatschappelijke en ethische normen die we hebben rond de bescherming van kinderen online,” vertelde Ehrlich aan The Post, en voegde toe dat MediaLab’s acties hier “zeer nalatig” zijn geweest.
MediaLab betwist de bevindingen van de onderzoekers, en zegt dat de informatie bedoeld was om publiekelijk toegankelijk te zijn en door de gebruikers zelf te worden verstrekt als een functie van de app. In het bijzonder was het delen van de locatie ontworpen om authenticiteit toe te voegen aan berichten waarin iemands locatie of status, zoals een actief militair, relevant was.
MediaLab vertelde The Post echter dat de database “niet was ontworpen om direct te worden opgevraagd”, en het verwijderde de informatie als gevolg daarvan. Het bedrijf is in het verleden ook in opspraak geraakt over zijn omgang met gebruikersgegevens, zoals in 2014, toen werd onthuld dat het bedrijf locatiegegevens van gebruikers verzamelde zonder hun toestemming en zelfs als ze zich daar expliciet voor hadden afgemeld. The Post zegt dat de blootgelegde database illustreert dat MediaLab locatiegegevens van gebruikers bleef verzamelen, zelfs nadat de controverse was overgewaaid.