X lanceerde vrijdag zijn nieuwe’Chat’-platform, waarbij de al lang bestaande Direct Messages werden vervangen door een groot aantal nieuwe functies. De update, die wordt uitgerold op iOS en internet, voegt spraak-en videogesprekken, het bewerken van berichten en end-to-end-codering toe.
Deze stap is een belangrijk onderdeel van Elon Musk’s streven om een ’alles-app’te bouwen. De beveiliging van het platform brengt echter grote kanttekeningen met zich mee. X geeft openlijk toe dat het systeem geen bescherming biedt tegen “man-in-the-middle”-aanvallen, wat betekent dat het bedrijf of een derde partij chats zou kunnen onderscheppen zonder dat de gebruikers het weten.
De dienst laat ook gevoelige metadata, zoals gespreksdeelnemers en tijden, volledig onversleuteld achter, wat vanaf zijn debuut aanzienlijke privacyvragen oproept.
Een moderne functieset met een groot pluspunt
De nieuwe’Chat’-interface wordt nu uitgerold op iOS en internet en introduceert een reeks langverwachte functies die bedoeld zijn om de berichtmogelijkheden van X in lijn te brengen met die van concurrenten als WhatsApp en Signal.
Gebruikers kunnen nu spraak-en videogesprekken voeren, bestanden delen en berichten terughalen of bewerken nadat ze zijn verzonden. Naar verluidt komt er binnenkort een Android-versie, aldus het bedrijf.
De kern van de upgrade is de belofte van end-to-end-encryptie (E2EE). X heeft deze beveiligingslaag uitgebreid om groepsberichten en media te dekken, een verbetering ten opzichte van een beperktere versie van de functie die kort werd getest en vervolgens in mei 2025 werd onderbroken.
🔒 @Chat je bent nog niet klaar
Er is geheel nieuwe beveiligde berichtenuitwisseling gearriveerdpic.twitter.com/FfD3tDWchB
— X (@X) 14 november 2025
Op papier positioneert dit Chat als een veiliger alternatief voor de oude DM’s van het platform. Toch onthullen de implementatiedetails, gevonden in de eigen helpdocumenten van het bedrijf, een veel gecompliceerdere en zorgwekkendere realiteit voor de privacy van gebruikers.
‘Encryptietheater’: experts waarschuwen voor kritieke beveiligingsfouten
Onder de oppervlakte van deze gebruiksvriendelijke updates ligt een reeks grimmige beveiligingsbekentenissen van X zelf. In zijn officiële helpdocumentatie doet het bedrijf een kritische onthulling over de kwetsbaarheid van het systeem. “Momenteel bieden we geen bescherming tegen man-in-the-middle-aanvallen.” T
Zijn zwakte, bekend als een man-in-the-middle-aanval (MITM), zou een derde partij – of X zelf – in staat stellen zich tussen gebruikers te positioneren en berichten te onderscheppen, lezen of wijzigen zonder detectie.
X gaat dieper in op dit diepe beveiligingslek en stelt: “Als iemand – een kwaadwillende insider of X zelf als resultaat van een verplichte juridische procedure – een gecodeerd gesprek zou compromitteren, zou noch de zender noch de ontvanger hiervan op de hoogte zijn.
Het systeem zou dat ook weten.
Het systeem mist ‘Forward Secrecy’, een cruciale functie die ervoor zorgt dat een gecompromitteerde encryptiesleutel niet kan worden gebruikt om eerdere of toekomstige berichten te decoderen. Zonder dit zou één enkele inbreuk op de beveiliging met terugwerkende kracht de hele gespreksgeschiedenis van een gebruiker kunnen blootleggen.
Voor voorstanders van privacy is het meest alarmerende aspect niet alleen wat wordt gecodeerd, maar ook wat opzettelijk openbaar wordt gemaakt. Volgens X is het”belangrijk om op te merken dat, hoewel de inhoud van het bericht zelf is gecodeerd, de bijbehorende metagegevens (bijvoorbeeld de ontvanger, de aanmaaktijd, enz.) dat niet zijn.”
Dit betekent dat hoewel de inhoud van een bericht veilig kan zijn, de zeer gevoelige informatie over wie met wie praat en wanneer toegankelijk blijft voor het bedrijf.
Deze tekortkomingen hebben ertoe geleid dat beveiligingsonderzoekers de implementatie als ‘encryptietheater’. Critici stellen de closed-sourcebenadering van X tegenover het open, transparante en onafhankelijk gecontroleerde Signal Protocol, dat de encryptie voor apps als Signal en WhatsApp mogelijk maakt.
Hoewel deze problemen aan het licht komen met de huidige uitrol, zijn ze niet nieuw; experts hebben tijdens eerdere, kleinschaligere tests identieke zorgen geuit over de sleutelopslag van X op de server en het gebrek aan MITM-bescherming.
Grok-integratie en een achtergrond van instabiliteit
Een extra laag van complexiteit is de integratie van Grok, de AI-chatbot van Musk. Gebruikers kunnen Grok vragen om een afbeelding of bericht vanuit een chat te analyseren, maar als je dit doet, vervalt feitelijk de privacybescherming.
In de documentatie van X staat duidelijk:”Merk op dat zodra je het naar Grok verzendt, die afbeelding of tekst niet langer gecodeerd is (de inhoud van het oorspronkelijke gesprek is nog steeds gecodeerd).”Dit creëert een directe route voor de verwerking van zogenaamd privégesprekken door de servers van X, wat een aanzienlijke privacy-afweging betekent voor het gemak. Dit is vooral opmerkelijk gezien het feit dat de algoritmen en AI-tools van X kunnen worden gevormd door de persoonlijke ideologische voorkeuren van Musk.
Uiteindelijk levert X een functieset waar gebruikers al lang om vragen. Maar door het te voorzien van beveiligingsproblemen die al maanden publiekelijk bekend zijn, maakt het bedrijf een duidelijk statement over zijn prioriteiten.
Het nieuwe Chat-platform biedt moderne gemakken, maar schiet ver achter bij de privacynormen van zijn collega’s, waardoor gebruikers gedwongen worden te beslissen of functies zoals videobellen het risico van een gesprek dat niet echt privé is, waard zijn.
