WhatsApp-Lücke: 3,5 Milliarden Profile waren monatelang auslesbar

Forscher der Universität Wien konnten mit simplen Mitteln die Daten von praktisch allen WhatsApp-Nutzern weltweit abgreifen. Die fundamentale Schwachstelle in der Kontakt-Funktion ermöglichte über Monate das massenhafte Auslesen von Telefonnummern, Profilbildern und Statusmeldungen. Obwohl Meta den Fehler inzwischen behoben hat, wirft der Vorfall ein grelles Licht auf die Sicherheitsprioritäten des Konzerns.

Die Forscher nutzten eine alltägliche WhatsApp-Funktion: die automatische Kontaktsuche, die prüft, welche Telefonnummern bei WhatsApp registriert sind. Das Problem? Meta hatte keine wirksame Bremse eingebaut. Mit nur wenigen Test-Accounts konnte das Team von einem einzelnen Universitätsserver über 100 Millionen Nummern pro Stunde durchprobieren – völlig ungehindert.

Von Dezember 2024 bis April 2025 testeten Gabriel Gegenhuber und sein Team systematisch Milliarden von Telefonnummern-Kombinationen. Das Ergebnis: eine globale Datenbank mit 3,5 Milliarden verifizierten WhatsApp-Profilen. Dabei griffen sie ab:

• Telefonnummern (bei allen Konten)
• Profilbilder (bei 57 % der Konten)
• Info-Texte (bei 29 % der Konten)
• Öffentliche Verschlüsselungsschlüssel

Die Forscher betonten: Sie verwendeten keine Hacking-Methoden, sondern nutzten lediglich die offiziellen Schnittstellen von WhatsApp in einem nicht vorgesehenen Ausmaß.

Viele Android-Nutzer übersehen wichtige Einstellungen, die Metadaten und Kontaktinformationen schützen. Die jüngsten Ergebnisse — 3,5 Milliarden betroffene Profile — zeigen, wie schnell einfache Funktionen zur Gefahr werden können. Ein kostenloses Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Ihr Android-Smartphone mit Schritt-für-Schritt-Anleitungen, damit WhatsApp, Banking und Apps sicherer laufen. Gratis-Sicherheitspaket für Android sichern

Meta spielt den Ball flach

Die Muttergesellschaft bedankte sich zwar bei den Forschern für ihre verantwortungsvolle Meldung im April 2025. Doch als “Datenleck” will Meta den Vorfall nicht verstanden wissen. Stattdessen spricht das Unternehmen von “Scraping” – dem automatisierten Abgreifen “grundlegender, öffentlich zugänglicher Informationen”.

Ein Sprecher betonte, dass verschlüsselte Nachrichteninhalte nie gefährdet waren. Die Erkenntnisse hätten geholfen, bereits in Entwicklung befindliche Schutzsysteme zu testen. Beweise für eine Ausnutzung durch Kriminelle vor der Schließung der Lücke gebe es nicht.

Doch die Erklärung überzeugt nicht alle. Bereits 2017 wiesen Sicherheitsexperten auf ähnliche Risiken hin – ohne sichtbare Konsequenzen. Warum wurde so lange nichts unternommen?

Das eigentliche Problem: Komfort vs. Sicherheit

WhatsApps größte Stärke ist gleichzeitig seine Achillesferse. Die simple Kontaktaufnahme über Telefonnummern macht den Dienst massentauglich, schafft aber genau die Angriffsfläche, die nun ausgenutzt wurde.

Besonders brisant: In Ländern wie China oder Iran, wo WhatsApp offiziell verboten ist, könnte eine solche Nutzerliste staatliche Überwachung und Verfolgung ermöglichen. Auch die Analyse zeigt: Fast die Hälfte der Telefonnummern vom großen Facebook-Datenleck 2021 sind weiterhin auf WhatsApp aktiv – einmal kompromittierte Daten bleiben ein dauerhaftes Risiko.

Was Nutzer jetzt tun sollten

Meta hat bis Oktober 2025 strengere Ratenbegrenzungen eingeführt. Doch Vertrauen allein reicht nicht. Nutzer sollten ihre Datenschutzeinstellungen dringend überprüfen:

• Profilbild: Nur für “Meine Kontakte” sichtbar machen
• Info-Text: Sichtbarkeit einschränken
• “Zuletzt online”-Status: Auf “Niemand” oder “Meine Kontakte” setzen

Die Verschlüsselung hat zwar die Chatinhalte geschützt. Doch dieser Fall zeigt deutlich: Auch scheinbar harmlose Metadaten können in den falschen Händen erheblichen Schaden anrichten. Bei 3,5 Milliarden betroffenen Accounts ist das kein theoretisches Szenario mehr.

PS: Schon kleine Einstellungen schützen massiv — und viele Nutzer übersehen genau die eine Maßnahme, die Profile und Kontakte besonders gut abschirmt. Das kostenlose Sicherheitspaket für Android erklärt, welche fünf Schritte wirklich helfen und welcher oft unterschätzte Punkt besonders wichtig ist. Holen Sie sich die praktische Anleitung mit Checklisten und einfachen Anweisungen. Jetzt kostenlosen Android-Guide anfordern