WhatsApp: 3,5 Milliarden Nutzerkonten offen einsehbar

Forscher konnten Telefonnummern und Profilbilder der gesamten WhatsApp-Nutzerbasis abgreifen. Die Sicherheitslücke im Kontaktermittlungs-System erlaubte Abfragen mit einer Rate von über 100 Millionen Nummern pro Stunde – ohne jede Blockade.

Informatiker der Universität Wien und des SBA Research deckten die kritische Schwachstelle auf und informierten Meta. Der Konzern hat die Lücke inzwischen geschlossen, doch das Ausmaß ist beachtlich: Fast jeder WhatsApp-Nutzer weltweit war betroffen.

Massenabfrage ohne Bremse

Der sogenannte Contact Discovery Mechanismus sollte Nutzern eigentlich nur zeigen, welche Kontakte aus ihrem Telefonbuch WhatsApp verwenden. Die Schutzmechanismen gegen Massenabfragen versagten jedoch komplett.

Die Forscher bombardierten WhatsApps Server systematisch mit Anfragen und bestätigten so die Existenz von 3,5 Milliarden aktiven Konten. Pro Stunde flossen über 100 Millionen Telefonnummern durch ihre Analyse.

Passend zum Thema WhatsApp‑Sicherheitslücke: Wenn Angreifer Telefonnummern oder Profilbilder abgreifen können, ist Ihr Android‑Smartphone oft das Einfallstor. Das kostenlose Sicherheitspaket erklärt die fünf wichtigsten Schutzmaßnahmen – von Datenschutzeinstellungen über App‑Prüfung bis zu Update‑Routinen. So reduzieren Sie das Risiko, dass Ihre Nummer zur Zielscheibe für Betrüger wird. Gratis-Sicherheitspaket für Android jetzt herunterladen

Folgende Daten waren einsehbar:

• Telefonnummern aktiver Konten
• Zeitstempel der Profilerstellung
• Öffentliche Verschlüsselungsschlüssel
• Profilbilder (wenn öffentlich eingestellt)
• Profil-Info-Texte (wenn öffentlich)

Die Forscher konnten zudem das verwendete Betriebssystem, das Kontoalter und die Anzahl verknüpfter Geräte ermitteln. Die verschlüsselten Chat-Inhalte blieben jedoch unangetastet.

Meta reagiert – nach der Entdeckung

Die Wiener Forscher handelten verantwortungsvoll und informierten Meta vor der Veröffentlichung ihrer Ergebnisse. Der Konzern führte daraufhin strengere Ratenbegrenzungen ein, um solche Massenabfragen zu verhindern.

Nitin Gupta, Vice President of Engineering bei WhatsApp, bedankte sich öffentlich: “Wir haben keine Hinweise darauf gefunden, dass böswillige Akteure diesen Vektor missbraucht haben.” Die Forscher bestätigten, alle gesammelten Daten gelöscht zu haben.

Doch wie beruhigend ist das wirklich? Die Lücke existierte über einen unbekannten Zeitraum – und Meta erfuhr erst davon, als Forscher sie meldeten.

Brisante Entdeckungen in Verbotszonen

Besonders heikel: Die Forscher identifizierten Millionen aktiver WhatsApp-Konten in Ländern, in denen der Dienst offiziell verboten ist. China, Iran und Myanmar – in all diesen Staaten nutzten Menschen WhatsApp trotz Verbot.

Wäre diese Lücke böswillig ausgenutzt worden, hätten autoritäre Regime eine fertige Liste von Personen erhalten, die sich über Zensurmaßnahmen hinwegsetzen. Die potenziellen Folgen: staatliche Verfolgung, Verhaftungen, Schlimmeres.

Fast die Hälfte der Telefonnummern aus dem großen Facebook-Datenleck von 2021 ist weiterhin auf WhatsApp aktiv. Diese Nummern sind jetzt als verifizierte WhatsApp-Konten bekannt – ein gefundenes Fressen für Betrüger.

Was Nutzer jetzt tun sollten

Meta hat die unmittelbare Lücke geschlossen, doch das grundsätzliche Problem bleibt: Plattformen dieser Größenordnung sind anfällig für Scraping-Angriffe. Deine Telefonnummer gilt jetzt potenziell als verifiziertes WhatsApp-Konto.

Konkrete Schutzmaßnahmen:

• Datenschutzeinstellungen überprüfen – Profilbild und Info-Text nur für Kontakte sichtbar machen
• Erhöhte Wachsamkeit bei unbekannten Nummern
• Keine Links in Nachrichten von Fremden öffnen
• App und Betriebssystem regelmäßig aktualisieren

Die Debatte über Metadaten-Sicherheit dürfte nach diesem Vorfall neue Nahrung erhalten. Auch regulatorische Untersuchungen sind nicht ausgeschlossen – immerhin war die gesamte Nutzerbasis betroffen.

Bleibt die Frage: Wie viele solcher Lücken existieren noch, von denen weder Meta noch wir wissen?

PS: Wussten Sie, dass oft schon fünf gezielte Einstellungen Ihr Android‑Gerät deutlich sicherer machen können? Das kostenlose 5‑Punkte‑Sicherheits‑Paket führt Sie Schritt für Schritt durch Datenschutzeinstellungen, App‑Prüfung und Update‑Routinen – ideal nach dem jüngsten WhatsApp‑Leak, um Ihre Nummer und persönlichen Daten zu schützen. Jetzt das kostenlose Android-Sicherheits-Paket anfordern