Groot datalek

Populaire huisfeestjes-app Amigos lekt privégegevens 200.000 Nederlanders

23 december 2021 15:01 Aangepast: 23 december 2021 20:14
Beeld ter illustratie. Beeld © iStock

De populaire Nederlandse app Amigos, waarmee veel spontane huisfeestjes worden georganiseerd, lekte maandenlang de privégegevens van zijn honderdduizenden gebruikers. Het was onder andere mogelijk om hun exacte locatie op te vragen, mee te lezen met privégesprekken en wachtwoorden buit te maken.

Amigos is door de verplichte avondsluiting van de horeca in korte tijd razend populair geworden. Elke dag melden vele duizenden nieuwe gebruikers zich aan, die via de app kijken wat voor evenementen er in de buurt worden georganiseerd.

De app wordt gebruikt voor allerlei 'spontane ontmoetingen', zoals huisfeestjes, voetbal kijken, een spelletje spelen of samen hardlopen. Je kunt automatisch mensen in de buurt uitnodigen en als je een leuke tijd met iemand hebt gehad, is het mogelijk om diegene een ster te geven.

Locatie zien en meelezen met chats 

Het lek gaf onbevoegden, en daarmee ook kwaadwillenden, toegang tot de privégegevens van alle gebruikers van Amigos. Het gaat om namen, e-mailadressen, geboortedata en de exacte locatie - vaak tot een paar meter nauwkeurig - van gebruikers. Ook kon er worden meegelezen met de inhoud van privéchats en groepsgesprekken die gebruikers met de app voeren.

"Als appbouwer is dit je grootste nachtmerrie", stelt beveiligingsexpert Dave Maasland van cybersecuritybedrijf ESET Nederland. "Dat een normale gebruiker zomaar de baas kan worden van alles wat er in zo'n app gebeurt, en alle gegevens die in de database te vinden zijn."

Met Houseparty worden vooral huisfeestjes georganiseerd. Met Houseparty worden vooral huisfeestjes georganiseerd.

Maasland zegt dat het digitale lek ook fysieke gevaren met zich meebrengt: "Amigos is een app om met vreemden af te spreken, en dat trekt ook mensen met kwade bedoelingen aan. Als je dan op de meter nauwkeurig kan zien waar een meisje of jongen is, kan dat ook fysieke risico's met zich meebrengen. Vooral als de doelgroep bestaat uit met name feestvierende jongeren."

"In een tijd waarin straatintimidatie en de veiligheid van vrouwen op straat een enorm groot probleem zijn, moeten we vooral niet naïef zijn over de intenties van sommige mensen. Dit soort lekken in apps kunnen leiden tot zeer gevaarlijke situaties met ongewenste ontmoetingen, stalking en allerlei nare gevolgen die daaruit ontstaan. Met dit lek zie je dat onveiligheid in het digitale domein kan betekenen dat je ook met een onveilig gevoel over straat loopt."

Beheerder worden

Het lek in de app is ontdekt door Sten Lankreijer, een 21-jarige student aan de Technische Universiteit Eindhoven, en geverifieerd door RTL Nieuws. Lankreijer ontdekte het lek toen hij onderzocht of het mogelijk was om geautomatiseerd sterren te verkrijgen, zodat je een goede reputatie hebt en sneller wordt uitgenodigd voor feestjes.

"Ik keek wat voor gegevens de app verstuurt en ontvangt en zag al snel dat je die data kunt manipuleren", vertelt hij tegen RTL Nieuws. Op die manier kreeg Lankreijer toegang tot gegevens die afgeschermd zouden moeten zijn. 

Het lukte Lankreijer op die manier om zichzelf beheerder van Amigos te maken. Daarmee had hij toegang tot alle gegevens van de gebruikers. Hij kon ook pushberichten namens de app sturen naar gebruikers, uit naam van anderen berichten sturen en evenementen organiseren, en ook die gewilde sterren ongelimiteerd uitdelen.

Met de app kun je zien waar huisfeestjes zijn en wie er allemaal in is voor een huisfeestje. Met de app kun je zien waar huisfeestjes zijn en wie er allemaal in is voor een huisfeestje.

Wachtwoorden buitmaken

Als beheerder was het eveneens mogelijk om e-mails te sturen waarmee gebruikers hun wachtwoord opnieuw moeten instellen. Een cybercrimineel zou deze functie kunnen misbruiken om wachtwoorden van gebruikers te stelen. "Dat is een hele realistische aanval", legt Lankreijer uit, die zich met zijn masterstudie embedded systems wil specialiseren in de veiligheid van zowel software als hardware.

Het was niet mogelijk om als beheerder direct toegang te krijgen tot de wachtwoorden van Amigos-gebruikers. "Die waren wel afgeschermd", vertelt hij. "Ik had kunnen proberen om ook daar toegang tot te krijgen, maar dan moest ik heel bewust gaan hacken en dat vond ik niet proportioneel om het lek aan te kaarten."

Een meisje wil een feestje organiseren bij haar thuis, maar alleen als haar broer weg is. Een meisje wil een feestje organiseren bij haar thuis, maar alleen als haar broer weg is.

Gebruikers worden geïnformeerd

Het lek in de app is een week na de melding door Amigos gedicht. Oprichter Johanan Fraanje zegt dat de techniek van de app is gebouwd door een externe partij. "Daar hadden we toen al geen goed gevoel bij", vertelt hij tegen RTL Nieuws, maar dat het zo kwetsbaar was, had hij niet gedacht. "Onze aandacht ging de afgelopen tijd vooral naar het opschalen voor alle nieuwe gebruikers. Het is ons een beetje te veel geworden, maar we zeggen ook: het moet beter."

De honderdduizenden gebruikers van Amigos worden geïnformeerd over het datalek en er is melding gedaan bij de Autoriteit Persoonsgegevens. Ook wordt er een onafhankelijk extern bureau ingeschakeld om te kijken of het lek door kwaadwillenden is misbruikt, en wordt de techniek van de app helemaal opnieuw gebouwd om hem veiliger te maken, stelt Fraanje.

Amigos, dat de afgelopen dagen naar bijna 300.000 gebruikers is gegroeid, is afgelopen zomer uitgebracht door Fraanje en zijn bedrijf Dutch Concepts uit Utrecht. Het team van de app bestaat momenteel uit zes medewerkers. Amigos is momenteel nog gratis, maar werkt aan een model waarmee gebruikers kunnen betalen voor extra functies.

Met Amigos worden geregeld grote feesten georganiseerd. Met Amigos worden geregeld grote feesten georganiseerd.

Geld afschrijven via app

Lankreijer ontdekte ook een groot lek in een andere app van Dutch Concepts, de betaal-app Splitt. Hij kon van de ruim 26.000 gebruikers hun naam en telefoonnummer zien en bij 7189 mensen geld van hun rekening afschrijven. Deze mensen hadden Splitt toegang gegeven om automatisch geld van hun bankrekening te schrijven.

Ook dit lek heeft Lankreijer gemeld bij Dutch Concepts, dat het lek inmiddels heeft gedicht, zo bevestigt Splitt-ceo Max Fackeldey. Er is opnieuw melding gemaakt van het datalek bij de Autoriteit Persoonsgegevens en hetzelfde onderzoeksbureau wordt ingeschakeld om ook hier te controleren of er geen misbruik van is gemaakt.

Fraanje en Fackeldey, die beide verwachten dat alleen Lankreijer toegang tot deze gegevens heeft gehad, zeggen dat ze wakker zijn geschud door zijn meldingen: "Door alle drukte en het bedenken van nieuwe functies vergeet je soms te kijken naar hoe je er eigenlijk voor staat. Dit is voor ons een goede wake-up-call."

Altijd weten wat er speelt?
Download de gratis RTL Nieuws-app en blijf op de hoogte.

Playstore Appstore