WhatsApp, Datenleck

WhatsApp: Datenleck betrifft 3,5 Milliarden Nutzer weltweit

21.11.2025 - 22:30:12

WhatsApp: Datenleck betrifft 3,5 Milliarden Nutzer weltweit - Foto: über boerse-global.de
WhatsApp: Datenleck betrifft 3,5 Milliarden Nutzer weltweit - Foto: über boerse-global.de

Forscher der Universität Wien haben eine gravierende Sicherheitslücke in WhatsApp aufgedeckt. Die persönlichen Daten von nahezu allen 3,5 Milliarden Nutzern weltweit lagen offen – möglicherweise das größte Datenleck der Geschichte.

Die Schwachstelle erlaubte es, massenhaft Profilbilder, Telefonnummern und Statusmeldungen abzugreifen. Während Meta betont, dass keine privaten Nachrichten kompromittiert wurden, warnen Sicherheitsexperten vor den weitreichenden Folgen der exponierten Metadaten.

Cybersecurity-Forscher der Universität Wien und SBA Research demonstrierten diese Woche, wie sie WhatsApps Kontaktabgleich-Funktion systematisch missbrauchen konnten. Mit einem selbst entwickelten Tool generierten sie Milliarden potenzieller Telefonnummern und prüften deren Existenz auf WhatsApp-Servern.

Anzeige

Viele Android-Nutzer übersehen diese fünf einfachen Schutzmaßnahmen – und machen es Angreifern so viel leichter, Metadaten und Kontakte auszulesen. Das kostenlose Sicherheitspaket erklärt Schritt für Schritt, wie Sie Ihr Smartphone, WhatsApp und andere Apps wirkungsvoll absichern: von Sichtbarkeitseinstellungen über App-Berechtigungen bis zu automatischen Updates und Backup-Checks. Praktische Anleitungen helfen, dass Ihre Telefonnummer und Profilbilder nicht zur Angriffsfläche werden. Jetzt kostenloses Android-Sicherheitspaket herunterladen

Das Erschreckende: Die Plattform setzte ihnen praktisch keinen Widerstand entgegen.

„Zu unserer Überraschung wurden weder unsere IP-Adresse noch unsere Accounts von WhatsApp blockiert”, heißt es im Forschungsbericht. „Zudem stießen wir auf keinerlei nennenswerte Ratenbegrenzungen.”

Die Geschwindigkeit des Angriffs war atemberaubend: Über 100 Millionen Accounts per Stunde konnten abgefragt werden. Mit bescheidenen Ressourcen hätte ein Angreifer die gesamte globale Nutzerbasis binnen Tagen kartieren können. Die identifizierte Zahl von 3,5 Milliarden aktiven Accounts übertrifft Metas eigene öffentliche Schätzungen von 2 Milliarden deutlich.

Profilbilder und Status-Texte im Zugriff

Zwar blieben die Ende-zu-Ende-verschlüsselten Nachrichten unangetastet, doch die erbeuteten Daten wiegen schwer. Nutzer, die ihre Privatsphäre-Einstellungen nicht strikt konfiguriert hatten, waren betroffen.

Die abgegriffenen Daten umfassen:

  • Aktive Telefonnummern: Eine Goldgrube für Spam und Phishing-Attacken
  • Profilbilder: Bei 57 Prozent der erfassten Accounts zugänglich
  • Status-Texte: Bei knapp 29 Prozent der Nutzer auslesbar
  • Technische Metadaten: Zeitstempel und öffentliche Verschlüsselungsschlüssel

Sicherheitsexperten schlagen Alarm: Dieser Datensatz reicht aus, um eine globale Gesichtserkennung aufzubauen oder einen umfassenden „Social Graph” zu erstellen, der Personen mit ihren privaten Telefonnummern verknüpft. „Einzelne Datenpunkte mögen harmlos erscheinen, doch ihre massenhafte Aggregation liefert aussagekräftige und potenziell enthüllende Einblicke”, warnen die Forscher.

Besonders brisant: Rund 50 Prozent der Telefonnummern aus dem berüchtigten Facebook-Datenleck von 2021 waren immer noch auf WhatsApp aktiv. Offenbar ändern Nutzer ihre Kontaktdaten trotz schwerwiegender Sicherheitsvorfälle kaum.

Meta reagiert: „Missbrauch öffentlicher Funktionen”

Meta räumt das Problem ein, wehrt sich aber gegen den Begriff „Datenleck” und spricht stattdessen von einem „Missbrauch öffentlicher Features”.

Nitin Gupta, WhatsApps VP of Engineering, dankte den Forschern gestern für ihre „verantwortungsvolle Partnerschaft” im Rahmen des Bug-Bounty-Programms. „Diese Zusammenarbeit identifizierte erfolgreich eine neuartige Aufzählungstechnik, die unsere vorgesehenen Limits überschritt”, so Gupta. Das Unternehmen habe inzwischen „branchenführende Anti-Scraping-Systeme” implementiert und betont, dass Nutzernachrichten sicher geblieben seien.

„Wir haben keine Hinweise darauf gefunden, dass böswillige Akteure diesen Vektor missbraucht haben”, fügte Gupta hinzu. Die Forscher kontern: Da das Scraping keine erkennbaren „Fußabdrücke” wie ein Servereinbruch hinterlässt, lässt sich kaum beweisen, dass nicht längst andere die Schwachstelle ausgenutzt haben.

Europäische Regulierer nehmen Meta ins Visier

Die Enthüllung kommt zur Unzeit für Meta in Europa. Nur Stunden vor Bekanntwerden der WhatsApp-Schwachstelle kündigte Spaniens Premierminister Pedro Sánchez eine umfassende Untersuchung wegen mutmaßlicher Datenschutzverstöße an. Meta soll Android-Nutzer heimlich getrackt haben.

„Das Gesetz steht über jedem Algorithmus”, erklärte Sánchez am Mittwoch in Madrid. Spanische Regulierungsbehörden prüfen nun, ob Meta versteckte Mechanismen nutzte, um Webaktivitäten über WhatsApp, Instagram und Facebook hinweg zu verfolgen.

Die Kombination aus spanischer Untersuchung und österreichischer Forschung bringt Meta unter erheblichen Druck. Nach der EU-Datenschutz-Grundverordnung (DSGVO) drohen Geldbußen von bis zu vier Prozent des weltweiten Jahresumsatzes bei unzureichendem Datenschutz. Die Leichtigkeit, mit der das Wiener Team WhatsApps Verteidigung umging, könnte als Verstoß gegen „Privacy by Design” gewertet werden.

Das Ende der Telefonnummer als Identität?

Der Vorfall dürfte Messaging-Apps zu einem grundlegenden Umdenken zwingen. Seit über einem Jahrzehnt setzen WhatsApp, Telegram und Signal auf das Hochladen von Kontaktlisten zum Auffinden von Freunden – eine Bequemlichkeit, die zunehmend als Sicherheitsrisiko gilt.

„Wir erleben vermutlich das Ende der Ära ‘Telefonnummer als Identität'”, kommentiert ein mit dem Bericht vertrauter Cybersecurity-Analyst. „Wenn Plattformen massenhafte Aufzählung nicht verhindern können, müssen sie auf nutzernamenbasierte Systeme umstellen, bei denen die Telefonnummer standardmäßig niemals öffentlich ist.”

WhatsApp testet Berichten zufolge bereits Nutzernamen-Funktionen in Beta-Versionen – eine Entwicklung, die durch diese Enthüllung beschleunigt werden dürfte. Bis dahin sollten Nutzer ihre Privatsphäre-Einstellungen überprüfen und die Sichtbarkeit von Profilbild und Status auf „Meine Kontakte” oder „Niemand” setzen.

Dieses Mal wurden die Daten von akademischen Forschern kontrolliert abgegriffen. Doch der Vorfall mahnt eindringlich: Im digitalen Zeitalter sind öffentliche Daten nur so sicher wie das schwächste Schloss an der Haustür.

PS: Wer seine Telefonnummer, Profilbilder und Statusmeldungen langfristig schützen möchte, findet in einem kompakten Gratis-Ratgeber die fünf wichtigsten Maßnahmen für Android-Smartphones. Der Leitfaden erklärt kurz und praktisch, welche Einstellungen sofort Wirkung zeigen, welche App-Berechtigungen Sie prüfen sollten und wie automatische Updates und Backups das Risiko senken. Gratis-Ratgeber jetzt anfordern

@ boerse-global.de
Die besten Black Friday Angebote für