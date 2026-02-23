Anno 2026 staan er naar schatting bijna 2 miljoen apps in de Google Play Store. Dat daar ook gevaarlijke apps tussen zitten, lijkt onvermijdelijk. Dat bewijst een recent datalek maar weer eens.

AI-apps populair, maar potentieel gevaarlijk

Dat Google niet alle apps in hun Play Store helemaal kan controleren, valt te begrijpen. Ook al is er flink gesneden in het aanbod (in 2025 verwijderde de tech-gigant al eens bijna de helft van de apps van het platform), er blijven nog genoeg apps over. Ook de komst van nieuwe apps blijft voor potentiële risico’s zorgen. Onder deze nieuwkomers zitten de nodige AI-apps, bijvoorbeeld om afbeeldingen en video’s mee te genereren.

Niet iedere ontwikkelaar zal even goed op de hoogte zijn van alle privacygevaren of er wellicht bewust met de pet naar gooien. Dat komt omdat veel ontwikkelaars van AI-apps gebruikmaken van een discutabele techniek genaamd ‘hardcoding secrets’. Dit komt neer op het rechtstreeks inbedden van gevoelige info (zoals wachtwoorden en encryptiesleutels) in de broncode van de app.

Miljoenen mediabestanden gelekt

Uit een recent rapport is gebleken dat één AI-app in het bijzonder verantwoordelijk is voor een gigantisch datalek: Video AI Art Generator & Maker. De generieke naam heeft de interesse van veel mensen gewekt, getuige de half miljoen downloads van de app en elfduizend gebruikers ervan. Dat was echter geen verstandige beslissing.

Er is namelijk naar buiten gekomen dat er anderhalf miljoen gebruikersafbeeldingen en meer dan 385.000 video’s zijn gelekt. Dit kon plaatsvinden omdat er iets in Google Cloud verkeerd was geconfigureerd. Hierdoor had iedereen toegang tot de opgeslagen bestanden. Het gaat om ruim 12 terabyte aan gelekte media van gebruikers.

Andere app vormt groter gevaar

Video AI Art Generator & Maker is gelukkig niet meer te vinden in de Play Store. Misschien denk je wel: gelukkig zijn er geen persoonlijke gegevens gelekt, zoals namen, wachtwoorden en betaalgegevens. Dat klopt voor deze app, maar de maker had nog meer applicaties ontwikkeld.

Zijn app IDMerit is helaas ook getroffen en daar zijn voor kwaadwillenden veel interesantere gegevens dan mediabestanden van naar buiten gekomen. Het gaat hier om zogenaamde KYC-data (Know Your Customer): persoonlijke en professionele informatie die bedrijven en financiële instellingen wettelijk verplicht zijn om te weten van gebruikers om hun identiteit te verifiëren en risico’s te bepalen bij het zakendoen.

Onder de persoonlijke gegevens waar IDMerit onzorgvuldig mee is omgesprongen, zitten volledige namen, adressen, geboortedata, telefoonnummers en e-mailadressen. Het gaat om data afkomstig van personen uit 26 landen, waaronder Duitsland, Frankrijk, China en Brazilië. Voor zover bekend zijn Nederlandse gebruikers niet getroffen. De ontwikkelaars hebben sinds begin februari de toegang tot de gegevens van de twee apps kunnen beveiligen. Weliswaar veel te laat, maar toch.

Dat Nederlandse gebruikers de dans bij dit lek zijn ontsprongen, is mooi meegenomen. Laat het echter wel een les zijn om altijd voorzichtig te zijn bij het downloaden van apps. Wij vertellen je graag waar je zoal op kunt letten om de risico’s te beperken.

Wat je zelf kunt doen: onze tips

Voordat je een app downloadt, kan het slim zijn om even op de ontwikkelaar te klikken. Heeft die nog tientallen andere vergelijkbare apps gemaakt? Vraag je dan af waarom dat is en of de makers misschien kwantiteit boven kwaliteit hebben verkozen. Deze apps zouden wij persoonlijk links laten liggen. Dat wil natuurlijk niet zeggen dat iedere ontwikkelaar met maar één app in de Play Store zijn of haar zaakjes altijd op orde heeft.

Check ook of je gegevens van de app-makers kunt vinden. Zo staan er onder het kopje ‘App-support’ vaak contactgegevens, zoals een adres en e-mailadres van de makers. Daarnaast zijn reviews een handige bron van info. Zijn er klachten over de veiligheid, privacy of werking van de app? Kijk ook altijd of een app is gemaakt is door een ontwikkelaar met een badge, label of vinkje van Google.

Dat betekent dat Google een basisveiligheidscontrole heeft gedaan en extra heeft gecontroleerd op de identiteit van de ontwikkelaar. We schrijven binnenkort nog een uitgebreider artikel hierover.

