WhatsApp: 3,5 Milliarden Nutzerkonten waren angreifbar

Eine massive Sicherheitslücke hat bei WhatsApp fast alle weltweit genutzten Konten gefährdet. Meta hat die kritische Schwachstelle inzwischen geschlossen – doch der Vorfall wirft grundsätzliche Fragen auf.

Sicherheitsforscher der Universität Wien und von SBA Research deckten zwischen Dezember 2024 und April 2025 eine Schwachstelle auf, die es ermöglichte, systematisch die Existenz aktiver WhatsApp-Konten zu überprüfen. Die Forscher konnten über 100 Millionen Telefonnummern pro Stunde abfragen – ohne dass das System Alarm schlug. Was die Experten als “potenziell größtes Datenleck der Geschichte” bezeichnen, wurde verantwortungsvoll an Meta gemeldet und inzwischen behoben.

Die Schwachstelle steckte ausgerechnet in einer Funktion, die Nutzer täglich verwenden: der automatischen Kontakterkennung. Wenn WhatsApp das Adressbuch durchsucht, um zu ermitteln, welche Kontakte ebenfalls den Messenger nutzen, kommuniziert die App mit den Servern des Unternehmens. Genau hier fehlten wirksame Schutzmechanismen gegen massenhafte Abfragen.

Viele Android-Nutzer übersehen grundlegende Sicherheitsmaßnahmen – und genau solche Lücken erlauben massenhafte Datensammlungen wie bei der WhatsApp-Panne. Das kostenlose Sicherheitspaket erklärt in fünf klaren Schritten, welche Einstellungen Sie sofort prüfen sollten: App-Berechtigungen, automatische Backups, Ratenbegrenzungen, sichere Kontakteinstellungen und VPN-Empfehlungen. Mit praktischen Checklisten und leicht verständlichen Anleitungen schützen Sie Ihr Gerät nachhaltig. Jetzt kostenloses Sicherheitspaket herunterladen

Die Forscher generierten systematisch Telefonnummernkombinationen für 245 Länder und konnten so 3,5 Milliarden aktive Konten identifizieren. Zugänglich waren dabei nicht nur die Nummern selbst, sondern auch öffentliche Schlüssel und Zeitstempel. Bei Nutzern mit öffentlichen Privatspäre-Einstellungen ließen sich zusätzlich Profilbilder und Status-Texte abrufen. In 57 Prozent der Fällen gelang der Zugriff auf Fotos, bei 29 Prozent auf die “Info”-Texte.

Die Ende-zu-Ende-Verschlüsselung der Nachrichten blieb zwar intakt. Doch aus den öffentlich zugänglichen Informationen ließ sich ableiten, welches Betriebssystem jemand nutzt, wie alt das Konto ist und wie viele verknüpfte Geräte existieren – wertvolle Daten für gezielte Angriffe.

Meta reagiert mit verzögerter Schadensbegrenzung

Erst im Oktober 2025 implementierte Meta strengere Ratenbegrenzungen, die übermäßige Abfragen nun unterbinden sollen. In einer Stellungnahme bedankte sich das Unternehmen bei den Forschern für die Zusammenarbeit im Rahmen des Bug-Bounty-Programms. WhatsApp-Vizepräsident Nitin Gupta betonte, dass Nachrichten aufgrund der standardmäßigen Ende-zu-Ende-Verschlüsselung stets privat geblieben seien.

Meta versicherte zudem, keine Hinweise auf eine missbräuchliche Ausnutzung durch Kriminelle gefunden zu haben. Die Forscher hätten alle gesammelten Daten sicher gelöscht. Am Dienstag kündigte das Unternehmen an, ausgewählten Bug-Bounty-Forschern einen neuen “WhatsApp Research Proxy” zur Verfügung zu stellen – ein Werkzeug zur effektiveren Analyse des Netzwerkprotokolls.

Doch Fragen bleiben: Warum fehlte dieser grundlegende Schutz jahrelang? Und wie viele andere potenzielle Schwachstellen existieren noch in der Infrastruktur?

Mehr Features, mehr Angriffsfläche?

Parallel zur Sicherheitskrise rollt WhatsApp eine lang erwartete Funktion aus: Multi-Account-Support für iOS-Nutzer. Seit Oktober 2023 auf Android verfügbar, können nun auch iPhone-Besitzer zwei separate Konten mit unterschiedlichen Telefonnummern in einer App verwalten. Voraussetzung ist eine zweite SIM-Karte oder ein eSIM-fähiges Gerät.

Die Einrichtung erfolgt über die Einstellungen unter “Konto hinzufügen”. Beide Profile lassen sich unabhängig voneinander konfigurieren – inklusive separater Datenschutz- und Benachrichtigungseinstellungen. Besonders für Selbstständige und Berufstätige, die Privat- und Geschäftskommunikation trennen möchten, ist das praktisch.

Doch der Zeitpunkt ist pikant: Während WhatsApp neue Funktionen einführt, offenbart die Sicherheitslücke, wie anfällig die Basis-Infrastruktur war. Jede zusätzliche Funktion erweitert potenzielle Angriffsflächen. Sind die Sicherheitsvorkehrungen mit der Feature-Entwicklung überhaupt Schritt haltbar?

Brisante Erkenntnisse jenseits der Lücke

Die Studie förderte weitere beunruhigende Details zutage: Millionen aktiver WhatsApp-Konten existieren in Ländern, in denen der Dienst offiziell verboten ist – darunter China, Iran und Myanmar. Offenbar nutzen viele Menschen den Messenger über VPN-Verbindungen oder andere Umgehungstechniken.

Noch alarmierender: Fast die Hälfte aller Telefonnummern aus dem Facebook-Datenleck von 2021 waren immer noch auf WhatsApp aktiv. Das zeigt, wie langlebig die Folgen solcher Datenpannen sind. Selbst vermeintlich harmlose öffentliche Informationen werden gefährlich, wenn sie massenhaft aggregiert werden – etwa für ausgefeilte Phishing-Kampagnen.

Für Vergleiche mit deutschen Unternehmen fehlen direkte Entsprechungen: Ein Messenger mit 3,5 Milliarden Nutzern übertrifft die gesamte Kundenbasis selbst der größten DAX-Konzerne um ein Vielfaches. Die Telekom verzeichnet rund 250 Millionen Mobilfunkkunden weltweit – nur ein Bruchteil der WhatsApp-Nutzerbasis.

Was Nutzer jetzt tun sollten

Meta hat die spezifische Schwachstelle behoben, doch Nutzer sollten ihre Datenschutzeinstellungen überprüfen. Wer darf das Profilbild sehen? Wer hat Zugriff auf die “Info”? Eine restriktive Konfiguration minimiert das Risiko bei künftigen Sicherheitsvorfällen.

Das Unternehmen zahlte 2025 über 4 Millionen Euro an Sicherheitsforscher im Rahmen seines Bug-Bounty-Programms – ein Zeichen dafür, dass externe Expertise zunehmend geschätzt wird. Die Zusammenarbeit mit den Wiener Forschern zeigt: Unabhängige Sicherheitsprüfungen sind bei Plattformen dieser Größenordnung unverzichtbar.

Der iOS-Rollout des Multi-Account-Features dürfte weitergehen, allerdings vermutlich mit verschärftem internen Fokus auf Datentrennung und -sicherheit. Für die Nutzer bedeutet dieser Vorfall vor allem eines: Selbst Messenger mit Milliarden-Budget und Ende-zu-Ende-Verschlüsselung sind nicht unfehlbar. Digitale Wachsamkeit bleibt Pflicht.

PS: Diese fünf Maßnahmen machen Ihr Android-Smartphone deutlich sicherer – ganz ohne teure Zusatz-Apps. Der Gratis-Ratgeber liefert konkrete Checklisten und Schritt-für-Schritt-Anleitungen, damit Sie Profilbilder, Status-Texte und Kontaktfreigaben richtig absichern, automatische Prüfungen einrichten und Phishing-Risiken minimieren. Gerade nach Enthüllungen über massenhafte Abfragen ist schneller Schutz wichtig. Jetzt 5-Schutzmaßnahmen-Paket anfordern