WhatsApp-Leak, Milliarden

WhatsApp-Leak: 3,5 Milliarden Konten exponiert

01.12.2025 - 23:09:12

WhatsApp-Leak: 3,5 Milliarden Konten exponiert - Foto: über boerse-global.de
WhatsApp-Leak: 3,5 Milliarden Konten exponiert - Foto: über boerse-global.de

Wiener Forscher knacken den weltweit beliebtesten Messenger. Sicherheitsexperten demonstrieren, wie sie praktisch die gesamte WhatsApp-Nutzerbasis identifizieren konnten – und Meta reagiert mit Notfall-Updates.

Die Dimension des Vorfalls ist beispiellos: Ein Team der Universität Wien und von SBA Research konnte über 3,5 Milliarden aktive WhatsApp-Konten weltweit identifizieren und deren Metadaten abgreifen. Parallel dazu warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor akuten Risiken durch kritische Sicherheitslücken.

Gabriel Gegenhuber und sein Team entdeckten eine fundamentale Schwachstelle im “Contact Discovery Mechanism” – jener Funktion, die das Telefonbuch mit WhatsApp-Servern abgleicht. Normalerweise sollte dieser Mechanismus geschützt sein. Doch die Forscher schafften es, zeitweise über 100 Millionen Telefonnummern pro Stunde abzufragen.

Anzeige

Viele Smartphone‑Nutzer unterschätzen, wie leicht Angreifer Metadaten auslesen können – die Wiener Studie mit 3,5 Milliarden betroffenen WhatsApp‑Konten macht das Ausmaß deutlich. Ein kostenloses Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Android‑Geräte: automatische Updates, kontrollierte App‑Berechtigungen, sichere Backups, starke Sperrmethoden und richtige Datenschutzeinstellungen für Messenger. So reduzieren Sie das Risiko von Spam, Identitätsdiebstahl und gezieltem Social‑Engineering. Jetzt kostenloses Android-Sicherheitspaket herunterladen

Das Leck exponierte weit mehr als nur Telefonnummern:

  • Über 77 Millionen öffentliche Profilbilder (allein aus den USA)
  • “Info”-Texte und Status-Meldungen
  • Geräteinformationen und Betriebssysteme
  • Zeitstempel und Verschlüsselungsschlüssel

Besonders brisant: Die Forscher fanden Millionen aktiver Konten in Ländern wie China und Iran, wo WhatsApp offiziell verboten ist. Für die betroffenen Nutzer könnte dies reale physische Gefahren bedeuten.

Zero-Click-Angriffe möglich

Meta kämpft gleichzeitig an einer zweiten Front. Mit dem November-Update schließt der Konzern mehrere kritische Sicherheitslücken, darunter CVE-2025-55179. Diese betrifft die Validierung von “Rich Response Messages” bei iOS (vor Version 2.25.23.73) und Mac-Versionen.

Ein Angreifer könnte durch eine manipulierte Nachricht die Verarbeitung von Medieninhalten von beliebigen URLs auslösen. Noch alarmierender: Die kürzlich geschlossene Lücke CVE-2025-55177 ermöglichte in Kombination mit Apple-Schwachstellen sogenannte “Zero-Click”-Angriffe – das Opfer muss nicht einmal auf einen Link klicken.

BSI schlägt Alarm

Das Bundesamt für Sicherheit in der Informationstechnik reagierte am 27. November mit einer offiziellen Warnung. Die Behörde sieht das Risiko für Phishing und gezielte Social-Engineering-Angriffe exponentiell steigen – besonders wenn die 3,5 Milliarden Nummern mit anderen geleakten Datensätzen kombiniert werden.

“Es genügt nicht, dass die Nachrichteninhalte verschlüsselt sind, wenn die Metadaten offenliegen”, kommentieren Sicherheitsexperten. Das BSI empfiehlt dringend:

  • Sofortiges Update auf iOS-Version 2.25.23.73 oder höher
  • Datenschutzeinstellungen verschärfen: Profilbilder, “Zuletzt online” und “Info” auf “Nur Kontakte” oder “Niemand” setzen
  • Erhöhte Vorsicht bei unbekannten Kontakten in den kommenden Wochen

Größer als der Facebook-Leak

Der Vorfall übertrifft frühere Datenschutzprobleme bei Meta deutlich. Während der Facebook-Leak von 2021 “nur” 530 Millionen Nutzer betraf, deckt die Wiener Studie praktisch die gesamte aktive WhatsApp-Nutzerbasis ab.

Meta hat die Lücke inzwischen geschlossen und strengere Limits für Abfragen eingeführt. Nitin Gupta, Vice President of Engineering bei WhatsApp, dankte den Forschern für die “verantwortungsvolle Zusammenarbeit”. Doch die Studie offenbart ein weiteres Problem: Fast die Hälfte der Nummern aus dem 2021er-Leak sind auch heute noch aktiv.

Was Nutzer jetzt erwartet

Die vollständigen Forschungsergebnisse werden auf dem NDSS Symposium 2026 präsentiert, sind aber bereits als Preprint verfügbar. In den nächsten Wochen dürfte Meta veraltete App-Versionen vom Netz nehmen und die Standard-Privatsphäre-Einstellungen verschärfen.

Bis dahin bleibt das Update die wichtigste Verteidigungslinie. Nutzer sollten außerdem mit einer Welle von Spam-Anrufen und betrügerischen Nachrichten rechnen – die Datenbanken der Cyberkriminellen sind nun frisch validiert.

Anzeige

PS: Sie möchten nicht riskieren, dass Kriminelle Ihre WhatsApp-Daten missbrauchen? Der Gratis-Ratgeber führt Sie Schritt für Schritt durch die 5 wichtigsten Maßnahmen für Android‑Smartphones – von automatischen Updates über Berechtigungs‑Checks bis zu sicheren Backup‑Einstellungen. Ideal für alle, die schnell und ohne technischen Aufwand ihr Gerät wirksam schützen wollen. Jetzt kostenloses Android-Schutzpaket anfordern

@ boerse-global.de
Die besten Black Friday Angebote für