WhatsApp: 3,5 Milliarden Nutzer-Accounts ausgelesen

Cybersicherheitsforscher schlagen Alarm: Eine gravierende Schwachstelle in WhatsApp ermöglichte die Kartierung praktisch aller aktiven Nutzerkonten weltweit. Zeitgleich erschüttern weitere Mega-Datenlecks in Frankreich und neue staatliche Spionageangriffe auf US-Telekommunikationsnetze das Vertrauen in digitale Infrastrukturen. Die vergangenen 72 Stunden offenbaren: Persönliche Daten sind 2025 fragiler geschützt als viele glauben.

Während Forscher aus Wien demonstrierten, wie erschreckend einfach sich WhatsApps gesamte Nutzerbasis durchleuchten lässt, kämpfen französische Behörden mit einem Angriff auf 1,2 Millionen Sozialversicherungsdaten. Google musste parallel seine siebte Zero-Day-Lücke des Jahres schließen.

Globales “Telefonbuch”: Wiener Forscher knacken WhatsApp-Architektur

Am Dienstag veröffentlichten Wissenschaftler der Universität Wien und des SBA Research eine brisante Vorabstudie: Sie konnten systematisch 3,5 Milliarden aktive WhatsApp-Konten identifizieren – nahezu die gesamte Nutzerbasis des Meta-Messengers. Das Erschreckende: Kein klassischer Hack war dafür nötig.

Das Team um Gabriel Gegenhuber nutzte eine Schwachstelle im Kontaktfindungssystem. Durch automatisierte Anfragen ließen sich über 100 Millionen Telefonnummern pro Stunde überprüfen, ohne dass das System Alarm schlug. “Normalerweise sollte ein System nicht auf derart viele Anfragen in so kurzer Zeit reagieren – besonders nicht von einer einzigen Quelle”, erklärt Gegenhuber.

Viele Android-Nutzer unterschätzen, wie leicht Messaging-Apps Metadaten offenlegen – von Telefonnummern bis Statusmeldungen. Angesichts solcher Harvesting-Angriffe können einfache Vorkehrungen oft Großangriffe abmildern. Der kostenlose Ratgeber erklärt die 5 wichtigsten Schutzmaßnahmen für Ihr Android‑Smartphone – mit klaren Schritt-für-Schritt-Anleitungen zu WhatsApp‑Einstellungen, Update‑Checks, App‑Berechtigungen und Backup‑Strategien. Jetzt kostenloses Android‑Sicherheits‑Paket herunterladen

Die Chatinhalte blieben durch Ende-zu-Ende-Verschlüsselung zwar geschützt. Doch die Metadaten sprechen Bände: Telefonnummern, öffentliche Schlüssel, Zeitstempel – und bei auf “öffentlich” gesetzten Profilen auch Bilder und Statusmeldungen. “Unsere Arbeit zeigt, dass Datenschutzrisiken auch entstehen, wenn solche Metadaten in großem Maßstab gesammelt und analysiert werden”, warnt Co-Autor Aljosha Judmayer.

Meta reagierte umgehend. WhatsApp-Technikchef Nitin Gupta bestätigte die “neuartige Enumerierungstechnik” und kündigte verstärkte Anti-Scraping-Maßnahmen an. Doch die Grundfrage bleibt: Wie sicher kann ein System sein, das Benutzerfreundlichkeit über Anonymität stellt?

Frankreich: 1,2 Millionen Sozialversicherungsdaten gestohlen

Während WhatsApp globale Metadaten preisgab, traf Frankreich ein direkterer Schlag. Am Mittwoch bestätigte die Behörde URSSAF einen Cyberangriff auf Pajemploi, den staatlichen Dienst zur Verwaltung von Kinderbetreuungs-Sozialversicherungen.

Rund 1,2 Millionen Personen sind betroffen – vorwiegend Eltern und Betreuungskräfte. Die gestohlenen Daten umfassen vollständige Namen, Geburtsdaten und -orte, Adressen sowie Sozialversicherungsnummern. Eine explosive Mischung für Identitätsdiebstahl.

Bankdaten und Passwörter blieben zwar verschont. Doch die Kombination aus biografischen Informationen und Versicherungsnummern öffnet Betrügern Tür und Tor. “Der Pajemploi-Dienst wurde Opfer eines Diebstahls personenbezogener Daten”, teilte URSSAF mit und warnte eindringlich vor Phishing-Versuchen.

Der Vorfall reiht sich ein in ein turbulentes Jahr für französischen Datenschutz – erst im Frühjahr erschütterte der massive France-Travail-Datendiebstahl das Vertrauen.

Google schließt siebte Zero-Day-Lücke

Parallel musste Google am Dienstag einen Notfall-Patch für Chrome veröffentlichen. CVE-2025-13223, eine kritische Zero-Day-Schwachstelle in der V8-JavaScript-Engine, wird bereits aktiv ausgenutzt.

Die von Googles Threat Analysis Group entdeckte “Type Confusion”-Schwäche ist die siebte Zero-Day-Lücke in diesem Jahr. Version 142.0.7444.175 (Linux/Windows) bzw. .176 (Mac) behebt das Problem. Sicherheitsexperten dringen auf sofortige Updates: Die Lücke ermöglicht Fernzugriff und liegt bereits in Angreiferhänden.

Zeitgleich setzt die Akira-Ransomware-Gruppe ihre aggressive Kampagne fort. Am Mittwoch reklamierte sie einen Angriff auf American Trust Administrators (ATA), einen US-Personaldienstleister. Die Hacker drohen mit der Veröffentlichung von 143 Gigabyte sensibler Unternehmensdaten – darunter HR-Akten und Kundenverträge.

Chinesische Spione in US-Telekomnetzen

Die Woche wird komplettiert durch eskalierende Berichte über “Salt Typhoon”, eine chinesische Staatshacker-Gruppe. Nach Angriffen auf AT&T und Verizon bestätigten sich diese Woche Berichte, dass auch T-Mobile ins Visier geriet.

Die Angreifer infiltrierten offenbar kritische Abhörsysteme, die von US-Strafverfolgungsbehörden genutzt werden – Ziel war das Belauschen hochrangiger Zielpersonen. T-Mobile beschwichtigt zwar, es gebe “keine signifikanten Auswirkungen” auf Systeme oder Daten. Doch in Washington wachsen die Sorgen um die Integrität der Telekommunikationsinfrastruktur.

“Wir werden erst wissen, wie gravierend dieser Hack war, wenn T-Mobile offenlegt, welche Informationen gestohlen wurden”, mahnt Datenschutzexperte Paul Bischoff von Comparitech. “Metadaten wie Anrufzeiten sind besorgniserregend – aber nicht so beängstigend wie staatliche Akteure, die Texte und Sprachnachrichten abgreifen.”

Analyse: Das Zeitalter der “Ernte”

Die Ereignisse dieser Woche markieren einen Wandel. Die WhatsApp-Enumeration war kein klassischer Hack – sondern eine “Harvesting”-Operation, die legitime Systemfunktionen missbrauchte, um Daten im globalen Maßstab abzuschöpfen.

“Diese Architektur ermöglicht inhärent die Telefonnummern-Enumeration, da der Dienst legitimen Nutzern erlauben muss, die Verfügbarkeit von Kontakten abzufragen”, erklären die Wiener Forscher. Ein grundlegendes Dilemma: Benutzerfreundlichkeit (Freunde leicht finden) versus Datenschutz (unsichtbar bleiben).

Wie geht es weiter?

Die vollständigen technischen Details zur WhatsApp-Schwachstelle werden beim NDSS Symposium 2026 präsentiert – und dürften eine Branchendebatte über Rate-Limiting und Auffindbarkeit in Messenger-Apps auslösen.

Europäische Regulierer, darunter die französische CNIL und möglicherweise die irische Datenschutzkommission DPC, werden die Vorfälle genau prüfen. Der Pajemploi-Hack könnte unter der DSGVO empfindliche Strafen nach sich ziehen.

Nutzer sollten unverzüglich ihre Chrome-Version überprüfen, bei verdächtigen Nachrichten mit französischen Daten besonders wachsam sein und ihre Privatsphäre-Einstellungen in Messengern kritisch überdenken.

PS: Sorgen Sie dafür, dass Angreifer keine einfachen Einfallstore in Ihrem Smartphone finden. Das kostenlose Sicherheitspaket zeigt, welche Einstellungen in Android und WhatsApp Sie sofort ändern sollten, wie Sie App-Berechtigungen richtig setzen, automatische Updates einrichten und verdächtige Nachrichten schneller erkennen. Ideal für alle, die ihre Privatsphäre schnell und ohne Technik‑Aufwand verbessern wollen. Sicherheits‑Paket für Android jetzt gratis anfordern