WhatsApp: Forscher knacken 3,5 Milliarden Nutzerkonten

Meta steht vor dem bisher größten Datenskandal seiner Messenger-Geschichte. Wiener Sicherheitsforscher konnten systematisch Telefonnummern und Profilbilder von 3,5 Milliarden WhatsApp-Nutzern abgreifen – eine Dimension, die selbst das Facebook-Datenleck von 2021 in den Schatten stellt.

Das Team um Gabriel Gegenhuber von der Universität Wien entdeckte eine massive Schwachstelle im Contact-Discovery-System von WhatsApp. Die eigentlich harmlose Funktion zur Kontaktsynchronisation wurde zum Einfallstor: Fehlende Ratenbegrenzungen ermöglichten es den Forschern, 100 Millionen Telefonnummern pro Stunde abzufragen.

Von Dezember 2024 bis April 2025 testeten die Wissenschaftler das System. Das Ergebnis: Sie konnten in 245 Ländern prüfen, welche Nummern bei WhatsApp registriert sind – und noch viel mehr.

Ihre WhatsApp-Daten sind akut gefährdet — Forscher konnten Milliarden von Telefonnummern und Millionen Profilbilder abgreifen. Vor allem Android-Nutzer sollten jetzt handeln. Unser Gratis-Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Android-Smartphones mit klaren Schritt-für-Schritt-Anleitungen: automatische App‑Prüfungen, sichere Berechtigungen, Verschlüsselungs-Checks und Update‑Routinen. So schließen Sie Lücken, die Angreifer ausnutzen. Jetzt kostenloses Android-Sicherheitspaket herunterladen

Mehr als nur Telefonnummern kompromittiert

Die erbeuteten Daten gehen weit über simple Nummernlisten hinaus:

• 77 Millionen Profilbilder allein von US-Nutzern – 66 Prozent davon mit erkennbaren Gesichtern
• Status-Texte von 30 Prozent der Nutzer mit persönlichen Details und politischen Ansichten
• 2,9 Millionen wiederverwendete Verschlüsselungsschlüssel, die die Ende-zu-Ende-Verschlüsselung gefährden könnten

“Diese Daten sind eine Goldmine für Betrüger und Cyber-Kriminelle”, warnt Marijus Briedis, CTO von NordVPN. Die Forscher demonstrierten: Fast die Hälfte der bereits 2021 geleakten Facebook-Nummern ist heute noch aktiv auf WhatsApp nutzbar.

Meta reagiert mit Sicherheitsupdates

Der Konzern hat die serverseitige Lücke im Oktober geschlossen. Diese Woche folgen kritische App-Updates gegen weitere Schwachstellen:

CVE-2025-55179 betrifft iOS-Nutzer (vor Version 2.25.23.73): Angreifer könnten über manipulierte Rich-Response-Nachrichten schädliche Medieninhalte einschleusen.

CVE-2025-30401 ermöglichte in der Windows-App das Einschleusen von Schadcode durch getarnte Dateianhänge.

Nutzer sollten ihre Apps umgehend aktualisieren – auch wenn das Kind längst in den Brunnen gefallen ist.

Juristische Nachspiele drohen

Attaullah Baig, ehemaliger Sicherheitschef von WhatsApp, hatte bereits im September Klage gegen Meta eingereicht. Sein Vorwurf: Das Unternehmen habe grundlegende Sicherheitsprotokolle vernachlässigt. Die aktuellen Enthüllungen dürften seiner Argumentation zusätzliches Gewicht verleihen.

Die Telefonnummer als Sicherheitsrisiko

Das Grundproblem bleibt bestehen: WhatsApp nutzt die Handynummer als zentrales Identifikationsmerkmal. Genau das macht den Dienst anfällig für systematische Angriffe. Angreifer können Milliarden von Nummernkombinationen automatisiert durchprobieren – ein Luxus, den username-basierte Systeme nicht bieten.

Usernames als Rettung – aber erst 2026

Meta hat die Konsequenzen erkannt und beschleunigt seine Pläne für eine fundamentale Umstellung. Bis Juni 2026 sollen Nutzer auf Benutzernamen umsteigen können – ähnlich wie bei Telegram oder Signal.

Die Telefonnummer würde dann optional bleiben, statt zwingende Voraussetzung zu sein. Für Geschäftskunden plant WhatsApp zusätzlich eine “Business-Scoped User ID”, um die Privatsphäre weiter zu stärken.

Bis dahin bleibt die Handynummer der Schlüssel zum Konto – und damit ein Sicherheitsrisiko, das 3,5 Milliarden Menschen betrifft. Die Forscher werden ihre Erkenntnisse im Februar 2026 auf dem NDSS-Symposium präsentieren. Dann wird auch die Fachwelt beurteilen können, wie Meta künftig verhindern will, dass die Privatsphäre von Milliarden Nutzern durch simple API-Abfragen ausgehebelt wird.

PS: Diese 5 Maßnahmen machen Ihr Smartphone spürbar sicherer — Tipp 3 schließt eine häufig unterschätzte Lücke, die Datendiebe ausnutzen. Der Gratis-Ratgeber richtet sich speziell an WhatsApp‑Nutzer und zeigt, welche Einstellungen Sie sofort anpassen sollten, wie Sie sensible Daten schützen und welche Routinen regelmäßige Kontrollen ersetzen. Laden Sie den leicht verständlichen Leitfaden herunter und schützen Sie Ihre Kontakte, Bilder und Chats effektiver. Gratis-Ratgeber: 5 Schutzmaßnahmen für Android sichern