WhatsApp-Datenleck: 3,5 Milliarden Nutzer betroffen

Die schlimmste Datenpanne in der Geschichte der Messenger-Dienste: Eine kritische Sicherheitslücke bei WhatsApp hat potenziell die Telefonnummern und Profildaten nahezu aller Nutzer offengelegt – weltweit rund 3,5 Milliarden Menschen. Gleichzeitig rollten Behörden in Singapur diese Woche ein kriminelles Netzwerk auf, das systematisch WhatsApp-Konten kaperte. Ein perfekter Sturm, der die Verletzlichkeit des beliebtesten Messengers der Welt schonungslos offenlegt.

Wie konnte das passieren? Und was bedeutet das für die Sicherheit der eigenen Daten?

Sicherheitsforscher der Universität Wien und des Forschungsinstituts SBA Research deckten diese Woche eine verheerende Schwachstelle in WhatsApps Kontaktsuche auf. Über Monate hinweg, bis April dieses Jahres, konnten sie die Plattform systematisch nach Nutzerdaten durchforsten – ohne dass der Dienst Alarm schlug.

Das Ergebnis: Über 100 Millionen Telefonnummern pro Stunde wurden abgefragt. Insgesamt prüften die Forscher 63 Milliarden Kandidaten-Nummern aus 245 Ländern. Die Sicherheitsmechanismen von WhatsApp? Praktisch wirkungslos.

Viele Android-Nutzer übersehen diese 5 wichtigen Schutzmaßnahmen, die genau vor den beschriebenen Gefahren schützen. Ein kostenloser Ratgeber zeigt Schritt für Schritt, wie Sie Ihr Smartphone gegen Datendiebstahl, Phishing-Links und missbräuchliche Konten absichern – inkl. Anleitung für sichere App-Berechtigungen, 2FA und prüfbare Checklisten. Ideal für alle, die WhatsApp, Online-Banking oder PayPal sicher nutzen. Gratis-Sicherheitspaket herunterladen

“Nach unserem Kenntnisstand markiert dies die umfangreichste Offenlegung von Telefonnummern und Nutzerdaten, die je dokumentiert wurde”, erklärt Aljosha Judmayer, einer der Hauptverantwortlichen der Studie. Zum Vergleich: Das berüchtigte Facebook-Datenleck von 2021 umfasste “nur” 500 Millionen Datensätze.

Das Erschreckende daran: Wenn die Wissenschaftler mit vergleichsweise einfachen Mitteln Zugriff auf nahezu die gesamte Nutzerbasis erlangen konnten – was hinderte kriminelle Akteure daran, dasselbe zu tun?

Gesichter im Visier: Massenhafte Profilbild-Downloads

Doch Telefonnummern waren erst der Anfang. Sobald eine gültige Nummer identifiziert war, konnten die Forscher automatisch öffentliche Profilbilder, Statusmeldungen, Informationen zu Geschäftskonten und sogar Verschlüsselungs-Keys abrufen.

In einem beunruhigenden Experiment luden die Wissenschaftler 77 Millionen Profilbilder von Konten mit US-amerikanischen Telefonnummern herunter. Eine Gesichtserkennungs-Analyse zeigte: 66 Prozent der Bilder enthielten erkennbare menschliche Gesichter.

Was ließe sich damit anstellen? “Diese Daten könnten es böswilligen Akteuren ermöglichen, einen Gesichtserkennungsdienst aufzubauen, der Personen mit ihren Telefonnummern verknüpft”, warnt der Forschungsbericht. Eine solche Datenbank würde Millionen Nutzer de-anonymisieren – mit potenziell lebensbedrohlichen Folgen für Aktivisten, Journalisten und Bürger in Überwachungsstaaten.

Besonders brisant: Die Studie identifizierte 2,3 Millionen aktive Konten in China und 59 Millionen im Iran – beides Länder, in denen WhatsApp offiziell gesperrt oder verboten ist. Diese Nutzer sind nun akut gefährdet, von staatlichen Stellen identifiziert zu werden.

Meta rudert zurück – doch Zweifel bleiben

Meta, der Mutterkonzern von WhatsApp, reagierte mit einer öffentlichen Stellungnahme. “Wir sind den Forschern der Universität Wien dankbar für ihre verantwortungsvolle Zusammenarbeit im Rahmen unseres Bug-Bounty-Programms”, heißt es darin. Man habe inzwischen strengere Beschränkungen implementiert, um solches massenhaftes Ausspähen künftig zu verhindern.

Wichtig auch: “Die Forscher haben die gesammelten Daten sicher gelöscht, und wir haben keine Hinweise darauf, dass böswillige Akteure diese Schwachstelle missbraucht haben”, betont der Konzern.

Sicherheitsexperten bleiben skeptisch. “Die Behauptung ‘keine Hinweise’ ist wenig beruhigend”, erklärt Marijus Briedis, Technologie-Chef beim VPN-Anbieter NordVPN, im Gespräch mit The Independent. “Scraping-Aktivitäten lassen sich im Nachhinein kaum von legitimem Datenverkehr unterscheiden.”

Briedis bringt das Grundproblem auf den Punkt: “Die Telefonnummer selbst ist die Schwachstelle. Sicherheit und Datenschutz sind keine einmaligen Errungenschaften, sondern müssen kontinuierlich überprüft werden.”

Zeitgleich: Phishing-Angriffe in Singapur

Während die akademische Studie eine theoretische Gefahr aufzeigt, schlugen Kriminelle diese Woche ganz konkret zu. Heute Morgen gaben die Behörden in Singapur die Festnahme zweier 27-Jähriger bekannt, die ein transnationales Phishing-Netzwerk betrieben haben sollen.

Die Masche: Über 7.000 Menschen erhielten SMS-Nachrichten, die vor angeblichen “Verifizierungsproblemen” mit ihrem WhatsApp-Konto warnten. Ein Link führte zu einer täuschend echt wirkenden Fake-Website.

Wer darauf hereinfiel und seine Telefonnummer samt Einmalpasswort (OTP) eingab, verlor sofort die Kontrolle über sein Konto. Die Betrüger nutzten die gekaperten Accounts dann, um Kontakte der Opfer anzuschreiben und um Geld zu bitten – eine perfide Form des Identitätsdiebstahls.

“Die Opfer merkten erst, dass sie betrogen worden waren, als sie aus ihren WhatsApp-Accounts ausgeloggt wurden oder Kontakte sie auf betrügerische Kreditanfragen ansprachen”, erklärt die Polizei. Ein Opfer verlor 1.823 Singapur-Dollar (etwa 1.250 Euro), bevor es sein Konto zurückerobern konnte.

Die beiden Verdächtigen wurden heute vor Gericht gestellt und nach dem Computer-Missbrauchsgesetz angeklagt. Bei Razzien am 18. und 19. November beschlagnahmten Ermittler zahlreiche Telekommunikationsgeräte und ein in Malaysia zugelassenes Fahrzeug.

Das strukturelle Problem: Telefonnummern als Identität

Die beiden Vorfälle – die massive Datenpanne und die gezielten Phishing-Attacken – offenbaren eine fundamentale Schwäche des modernen Kommunikations-Ökosystems: die Abhängigkeit von Telefonnummern als primärer Identifikator.

Seit Jahren fordern Datenschützer, dass Plattformen wie WhatsApp oder Signal auf Nutzernamen-basierte Systeme umstellen sollten, die Konten von SIM-Karten entkoppeln. WhatsApp testet solche Funktionen zwar seit 2024 in Beta-Versionen – doch die Hauptmethode bleibt weiterhin die Telefonnummer.

“Die Kontaktsuche ist ein zweischneidiges Schwert”, erklärt Cybersecurity-Analystin Dr. Elena Kosta. “Sie macht die App benutzerfreundlich – man installiert sie und sieht sofort seine Freunde. Aber genau diese Bequemlichkeit ermöglicht es automatisierten Skripten, den Server Milliarden Mal zu fragen: ‘Ist diese Nummer ein Nutzer?’ Das Ergebnis: ein globales Telefonverzeichnis ohne Zustimmung.”

Was das für die EU bedeutet

Das Timing könnte für Meta kaum ungünstiger sein. Der Konzern kämpft aktuell mit regulatorischen Untersuchungen in der EU unter dem Digital Markets Act (DMA). Die Enthüllung, dass Nutzerdaten in diesem Ausmaß abgeschöpft werden konnten, dürfte Ermittlungen der irischen Datenschutzbehörde nach sich ziehen – insbesondere hinsichtlich der DSGVO-Anforderung für “datenschutzfreundliche Voreinstellungen”.

Für deutsche Nutzer stellt sich die Frage: Wenn WhatsApp die Daten von 3,5 Milliarden Menschen nicht schützen kann – welche Alternative gibt es? Signal gilt als datenschutzfreundlicher, leidet aber unter ähnlichen strukturellen Problemen. Threema, der Schweizer Konkurrent, setzt auf ein ID-basiertes System – hat aber nur einen Bruchteil der Nutzerbasis.

Was Nutzer jetzt tun sollten

Meta kündigte an, die Einschränkungen für Kontaktsynchronisierung und -suche zu verschärfen. Das dürfte kurzfristig für mehr Reibung bei legitimen Anwendungen sorgen. Mittelfristig könnte der Vorfall die Einführung des Nutzernamen-Features beschleunigen, das es ermöglichen soll, die eigene Telefonnummer vor Unbekannten zu verbergen.

Bis dahin bleibt die “öffentliche” Natur von Telefonnummern eine gravierende Angriffsfläche. Der wichtigste Rat für alle WhatsApp-Nutzer: Aktivieren Sie sofort die Zwei-Faktor-Authentifizierung (2FA) in den Einstellungen. Diese sechsstellige PIN – unabhängig vom SMS-Code – ist der einzige wirksame Schutz gegen die Account-Übernahmen, die derzeit durch Singapur und andere Regionen schwappen.

Wie die Forscher Gabriel Gegenhuber und Aljosha Judmayer in ihrem Bericht schreiben: “Selbst ausgereifte, weithin vertrauenswürdige Systeme können Design- oder Implementierungsfehler enthalten, die reale Konsequenzen haben.” Heute werden 3,5 Milliarden Nutzer daran erinnert – auf die harte Tour.

PS: Wenn Ihre Telefonnummer und Profilbilder offenliegen, sollten Sie jetzt handeln. Das kostenlose Sicherheitspaket erklärt kompakt, wie Sie 2FA einrichten, Phishing-SMS erkennen und App-Berechtigungen sicher einschränken – mit praktischen Checklisten, die Sie sofort anwenden können. Besonders hilfreich für WhatsApp- und Online-Banking-Nutzer. Jetzt kostenloses Android-Sicherheits-Paket anfordern