WhatsApp-Leak: 3,5 Milliarden Nutzer betroffen

Wien/Menlo Park – Sicherheitsforscher der Universität Wien haben eine gravierende Schwachstelle in WhatsApp aufgedeckt. Die Lücke ermöglichte den Zugriff auf Metadaten von praktisch allen 3,5 Milliarden aktiven Nutzern weltweit. Profilbilder, Status-Texte und Online-Zeiten lagen offen – ein beispielloser Datenschutz-GAU für den Messenger-Riesen.

Die Chat-Inhalte blieben zwar durch die Ende-zu-Ende-Verschlüsselung geschützt. Doch was die Forscher um Gabriel Gegenhuber und Aljosha Judmayer von SBA Research zutage förderten, erschüttert die IT-Sicherheitswelt: Metadaten im Umfang einer globalen Überwachungsdatenbank, frei abrufbar durch eine simple Schnittstelle.

Das Einfallstor war die “Contact Discovery”-Funktion. Sie gleicht Telefonnummern aus dem Adressbuch mit WhatsApp-Konten ab und zeigt an, welche Kontakte den Messenger nutzen. Eigentlich eine Komfortfunktion – in der Praxis ein Scheunentor für Datensammler.

Den Wiener Forschern gelang es, über 100 Millionen Telefonnummern pro Stunde abzufragen. WhatsApp hatte keine wirksame Begrenzung implementiert. Der Server antwortete bereitwillig und bestätigte nicht nur die Kontoexistenz, sondern lieferte gleich eine Fülle an Zusatzinformationen mit.

Viele Android-Nutzer übersehen diese fünf Sicherheitsmaßnahmen – der aktuelle WhatsApp-Leak zeigt, wie schnell Metadaten missbraucht werden können. Das kostenlose Sicherheits-Paket erklärt Schritt für Schritt, welche Einstellungen, App-Berechtigungen und Synchronisations-Optionen Sie sofort prüfen sollten, damit Profilbilder, Status und Online-Zeiten nicht zur Datenquelle werden. Mit praktischer Checkliste und leicht umsetzbaren Anleitungen für den Alltag. Jetzt kostenloses Android-Sicherheitspaket sichern

“Üblicherweise sollte ein System solche Massenanfragen blockieren”, erklären die Forscher. Stattdessen hätte sich theoretisch das gesamte globale Nutzerverzeichnis inventarisieren lassen – ein Datenschatz für Geheimdienste, Stalker und Cyberkriminelle gleichermaßen.

Was konkret sichtbar war

Die Ausbeute an Metadaten war alarmierend. Für jeden Account mit Standard-Einstellungen konnten die Forscher abrufen:

• Profilbilder: Millionen Fotos für Gesichtserkennungsdatenbanken
• Info-Texte: Persönliche Status-Sprüche
• Online-Zeitstempel: Wann war der Nutzer zuletzt aktiv?
• Technische Details: Betriebssystem und verknüpfte Geräte

Besonders brisant: Fast 30 Prozent der Nutzer gaben durch Profilbilder und Status persönliche Informationen preis. Politische Einstellungen, Religionszugehörigkeit, sexuelle Orientierung – alles sichtbar für jeden, der systematisch nach Nummern suchte.

Meta reagiert – mit Verzögerung

Die Forscher informierten Meta bereits im April 2025 über ihre Entdeckung. Die Reaktion ließ auf sich warten: Erst im Oktober 2025 implementierte der Konzern strikte Obergrenzen und Anti-Scraping-Mechanismen.

Zum Zeitpunkt der heutigen Veröffentlichung ist die Lücke geschlossen. Ein Meta-Sprecher betont, keine privaten Nachrichten seien kompromittiert worden. Doch die Frage bleibt: Warum war eine derart fundamentale Schnittstelle bei der weltweit größten Messenger-App so lange unzureichend geschützt?

Warum Metadaten gefährlicher sind als Chats

“Metadaten sind oft aussagekräftiger als der Inhalt selbst”, warnen Datenschutz-Experten. Wer weiß, wann, wo und mit welchem Gerät jemand online ist, kann umfassende Bewegungsprofile erstellen.

Für Aktivisten und Journalisten wiegt die Entdeckung besonders schwer. Die Studie zeigte: Millionen Nutzer in Ländern mit WhatsApp-Verbot (China, Iran) konnten identifiziert werden. Für diese Menschen kann die bloße Bestätigung ihrer Registrierung lebensgefährlich sein.

Der Fall demonstriert: Sicherheit bedeutet mehr als nur Verschlüsselung. Sie muss auch den Schutz vor massenhafter Datensammlung umfassen.

So schützen Sie sich jetzt

Auch wenn die technische Lücke geschlossen ist – das Grundproblem bleibt. WhatsApp gibt standardmäßig zu viele Informationen preis. Überprüfen Sie sofort Ihre Einstellungen:

1. Sichtbarkeit einschränken
Gehen Sie zu Einstellungen > Datenschutz. Setzen Sie “Zuletzt online”, “Profilbild” und “Info” auf “Meine Kontakte” oder “Niemand”.

2. Anrufe filtern
Aktivieren Sie unter Datenschutz > Anrufe die Option “Anrufe von Unbekannt stummschalten”.

3. Zwei-Faktor-Authentifizierung
Aktivieren Sie unter Konto > Verifizierung in zwei Schritten einen PIN-Code. Das ist der effektivste Schutz gegen Account-Diebstahl.

4. Kontakt-Sync überdenken
Braucht WhatsApp wirklich dauerhaften Zugriff auf Ihr gesamtes Adressbuch?

Das Katz-und-Maus-Spiel geht weiter

Experten erwarten ein Umdenken bei den großen Plattformen. Die “User Discovery” via Telefonnummer ist bequem, aber aus Sicherheitssicht veraltet. Messenger werden künftig verstärkt auf Nutzernamen setzen müssen – ein Feature, an dem WhatsApp Gerüchten zufolge bereits arbeitet.

Die Wiener Forscher präsentieren ihre Ergebnisse im Detail auf der Sicherheitskonferenz NDSS 2026. Bis dahin gilt: Daten, die nicht öffentlich sein müssen, sollten aktiv verborgen werden. Dieser Leak übertrifft den Facebook-Vorfall von 2021 bei weitem – und zeigt, wie gläsern 3,5 Milliarden Menschen durch eine einzige Schwachstelle werden können.

PS: Diese fünf Maßnahmen machen Ihr Smartphone spürbar sicherer. Tipp 3 schließt eine oft unterschätzte Lücke bei der Kontakt-Synchronisation – genau die Schwachstelle, die beim WhatsApp-Leak ausgenutzt wurde. Der Gratis-Ratgeber führt Sie durch Privacy-Settings, App-Berechtigungen und einfache Schutzschritte, damit Ihre Kontakte und Metadaten nicht ungewollt offengelegt werden. Jetzt kostenlosen Android-Schutz-Guide anfordern