WhatsApp, Milliarden

WhatsApp: 3,5 Milliarden Nutzer durch Sicherheitslücke erfasst

19.11.2025 - 18:50:12

WhatsApp: 3,5 Milliarden Nutzer durch Sicherheitslücke erfasst - Foto: über boerse-global.de
WhatsApp: 3,5 Milliarden Nutzer durch Sicherheitslücke erfasst - Foto: über boerse-global.de

Sicherheitsforscher der Universität Wien konnten praktisch die gesamte WhatsApp-Nutzerbasis identifizieren. Eine massive Schwachstelle im Contact-Discovery-Mechanismus ermöglichte es ihnen, systematisch Telefonnummern abzufragen und bis zu 3,5 Milliarden aktive Konten weltweit zu erfassen. Meta hat die Lücke inzwischen geschlossen – doch der Vorfall zeigt, wie unterschätzt die Gefahr von Metadaten ist.

Die Schwachstelle lag in einer alltäglichen Funktion: der Synchronisierung von Telefonbuchkontakten. WhatsApp-Server prüfen dabei, welche Nummern den Dienst nutzen. Das fatale Versäumnis: Die Server setzten keine ausreichenden Beschränkungen für die Anzahl der Anfragen.

Die Folge? Das Forschungsteam konnte über 100 Millionen Telefonnummern pro Stunde abfragen. Über Monate hinweg erstellten sie so eine nahezu vollständige Liste aller aktiven WhatsApp-Nutzer in 245 Ländern. Gabriel Gegenhuber, Hauptautor der Studie, erklärte: “Wir konnten quasi unbegrenzte Anfragen stellen und eine weltweite Erhebung durchführen.”

Anzeige

Passend zum Thema Datenschutz bei Messenger-Apps: Wenn Metadaten wie Telefonnummern und Profilbilder offenliegen, sind viele Android-Nutzer ein leichtes Ziel für Datendiebe und Phisher. Ein kostenloses Sicherheitspaket erklärt die fünf wichtigsten Schutzmaßnahmen für Ihr Android-Smartphone mit klaren Schritt-für-Schritt-Anleitungen. Sie erfahren, wie Sie Sichtbarkeitseinstellungen, App-Berechtigungen und automatische Updates richtig setzen – damit WhatsApp & Co. nicht zur Schwachstelle werden. Jetzt kostenloses Android-Sicherheitspaket anfordern

Was besonders alarmiert: Metas automatische Schutzmechanismen griffen während des monatelangen Datenabgriffs nicht ein.

Welche Daten standen offen – und was blieb sicher?

Die gute Nachricht zuerst: Die Ende-zu-Ende-Verschlüsselung hielt stand. Chat-Inhalte blieben geschützt. Doch die erfassten Metadaten sind dennoch brisant:

  • Telefonnummern aller aktiven Nutzer
  • Profilbilder und Statusmeldungen (sofern öffentlich)
  • Zeitstempel der letzten Aktivität
  • Betriebssystem (iOS oder Android)
  • Kontoalter und Anzahl verknüpfter Geräte

Klingt harmlos? Keineswegs. Diese Informationen ermöglichen detaillierte Nutzerprofile und bieten Angriffsfläche für Phishing-Kampagnen. In Ländern, in denen WhatsApp verboten ist, können allein aktive Telefonnummern zur Gefahr werden.

Meta reagiert – aber erst nach der Meldung

Die Forscher handelten verantwortungsvoll und informierten Meta vor der Veröffentlichung. Der Konzern schloss die Lücke und implementierte strengere Ratenbegrenzungen sowie verbesserte Anti-Scraping-Systeme.

Nitin Gupta, Vice President of Engineering bei WhatsApp, betonte: “Wir sind den Forschern für ihre verantwortungsvolle Partnerschaft dankbar.” Laut Meta gebe es keine Hinweise auf eine Ausnutzung durch böswillige Akteure. Die Forscher löschten alle gesammelten Daten nach Abschluss ihrer Analyse.

Warum Metadaten unterschätzt werden

Während sich die öffentliche Debatte meist auf verschlüsselte Inhalte konzentriert, zeigt dieser Fall: Metadaten sind mindestens genauso sensibel. Die Kombination aus Telefonnummer, Profilbild und Statusmeldung kann Kriminellen wertvolle Informationen für Social-Engineering-Angriffe liefern.

Die Studie “Hey there! You are using WhatsApp” wird 2026 auf dem renommierten Network and Distributed System Security (NDSS) Symposium vorgestellt. Sie dürfte die Branchendiskussion über besseren Metadaten-Schutz weiter anfachen.

Was Nutzer jetzt tun sollten

Obwohl die spezifische Lücke geschlossen ist, bleibt Eigeninitiative wichtig. Die wichtigsten Schritte:

  • Profilbild-Sichtbarkeit auf “Meine Kontakte” beschränken
  • “Info”-Statustext ebenfalls nur für Kontakte freigeben
  • Regelmäßig Datenschutzeinstellungen überprüfen

Von Meta und anderen Messaging-Diensten ist zu erwarten, dass sie ihre Schutzmechanismen gegen großangelegte Scraping-Angriffe weiter verstärken. Die Zusammenarbeit zwischen Tech-Konzernen und unabhängigen Sicherheitsforschern bleibt entscheidend – wie dieser Fall eindrucksvoll zeigt.

Anzeige

PS: Diese 5 Maßnahmen machen Ihr Smartphone spürbar sicherer – Tipp 3 schließt eine häufig unterschätzte Lücke, die Datensammler bei Kontakt-Syncs ausnutzen. Das Gratis-Paket enthält Checklisten und praktische Anleitungen, um Ihr Gerät gegen Scraping, Phishing und Schadsoftware zu härten. Ideal für alle, die WhatsApp sicherer nutzen wollen oder gezielt Profileinträge schützen möchten. Es enthält auch einfache Schritt-für-Schritt-Anleitungen, um Profilbild- und Status-Sichtbarkeit sicher einzuschränken. Gratis-Ratgeber jetzt sichern

@ boerse-global.de
Ausbildung zum erfolgreichen Börsenhändler