WhatsApp-Sicherheitslücke, Milliarden

WhatsApp-Sicherheitslücke: 3,5 Milliarden Nutzer betroffen

20.11.2025 - 14:39:12

WhatsApp-Sicherheitslücke: 3,5 Milliarden Nutzer betroffen - Foto: über boerse-global.de
WhatsApp-Sicherheitslücke: 3,5 Milliarden Nutzer betroffen - Foto: über boerse-global.de

Forscher der Universität Wien deckten eine kritische Schwachstelle auf, die Zugriff auf Nutzerdaten im globalen Maßstab ermöglichte. Meta reagierte – doch Experten warnen vor weitreichenden Folgen.

Eine fundamentale Sicherheitslücke in WhatsApp hat das persönliche Profil von nahezu allen 3,5 Milliarden Nutzern weltweit offengelegt. Das Wiener Forscherteam konnte über Monate hinweg Telefonnummern, Profilbilder und Statusmeldungen abgreifen – in einem Tempo von über 100 Millionen Nummern pro Stunde. Die Dimension des Vorfalls übertrifft selbst den Facebook-Datenskandal von 2021.

Die gute Nachricht: Die verschlüsselten Nachrichten blieben sicher. Die schlechte: Metadaten wie Telefonnummern und Profilbilder waren für jeden zugänglich, der die technische Schwachstelle kannte. Meta hat die Lücke inzwischen geschlossen und betont, es gebe keine Hinweise auf kriminelle Nutzung. Doch Datenschutzexperten stellen unbequeme Fragen: Wie konnte eine solche Schwachstelle bei einem Dienst dieser Größenordnung überhaupt existieren?

Anzeige

Viele Android-Nutzer unterschätzen, wie einfach Angreifer Metadaten aus Messaging-Apps auslesen können – wie der aktuelle WhatsApp-Scraping-Fall zeigt. Das kostenlose Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Ihr Android-Smartphone: Privatsphäre-Einstellungen richtig setzen, App-Berechtigungen prüfen, automatische Updates aktivieren, sichere Backups erstellen und verdächtige Apps erkennen. Praktische Schritt-für-Schritt-Anleitungen helfen Ihnen sofort, Chats, Kontakte und Banking-Apps besser zu schützen. Jetzt kostenloses Android-Sicherheitspaket herunterladen

Die Schwachstelle lag im System zur Kontaktabfrage. WhatsApp ermöglicht es Nutzern, automatisch zu erkennen, welche ihrer gespeicherten Kontakte den Messenger ebenfalls verwenden. Klingt praktisch – doch das System hatte einen entscheidenden Fehler: Es fehlten wirksame Bremsen gegen automatisierte Massenabfragen.

Das Team um Gabriel Gegenhuber, Philipp É. Frenzel, Maximilian Günther, Johanna Ullrich und Aljosha Judmayer nutzte zwischen Dezember 2024 und April 2025 diese Lücke systematisch aus. Durch Reverse Engineering der App-Schnittstelle konnten sie das System mit beispielloser Geschwindigkeit abfragen.

Das Ergebnis war erschreckend: 3,5 Milliarden aktive WhatsApp-Konten identifiziert und verifiziert. Bei 57 Prozent der Nutzer ließen sich öffentliche Profilfotos herunterladen, bei 29 Prozent die „Info”-Texte. Auch technische Verschlüsselungsschlüssel wurden erfasst – zwar nicht zur Entschlüsselung geeignet, aber theoretisch für Kryptoanalysen verwendbar.

Besonders brisant: In Indien waren über 750 Millionen Nutzer betroffen. In den USA scrapten die Forscher 30 Millionen Nummern in unter 30 Minuten. In Ländern mit autoritären Regimen wie China oder Myanmar könnten solche Daten staatliche Überwachung dramatisch erleichtern.

Meta spielt das Problem herunter

Meta rahmt den Vorfall geschickt um: „Erfolgreiche Zusammenarbeit mit Sicherheitsforschern” statt „massives Sicherheitsversagen”. Ein Sprecher betonte am Mittwoch, man sei den Wiener Wissenschaftlern „dankbar für ihre verantwortungsvolle Partnerschaft im Rahmen unseres Bug-Bounty-Programms”.

Die Kernbotschaften des Konzerns:

Keine kriminelle Ausnutzung: Es gebe keinerlei Hinweise, dass Cyberkriminelle oder Geheimdienste die Lücke vor ihrer Schließung missbrauchten.

Problem gelöst: Im Oktober 2025 implementierte Meta strengere Ratenlimits und Anti-Scraping-Maßnahmen – nachdem die Forscher den Konzern privat informiert hatten.

Daten gelöscht: Die 3,5-Milliarden-Datensätze wurden von den Forschern sicher vernichtet und gelangen nicht in die Öffentlichkeit.

„Nachrichten blieben dank Ende-zu-Ende-Verschlüsselung privat und sicher”, heißt es in der Stellungnahme. Kein Zugriff auf nicht-öffentliche Daten habe bestanden.

Doch Branchenexperten lassen sich nicht beschwichtigen. „Dass eine Schwachstelle dieser Größenordnung noch Ende 2025 existierte, ist zutiefst beunruhigend”, erklärt Dr. Elena Kovic vom European Digital Rights Monitor. „Ratenlimits sind grundlegende Sicherheitsstandards. Für eine Plattform mit Milliarden Nutzern ist das ein erhebliches Compliance-Versäumnis.”

DSGVO-Verstoss? Regulatoren könnten zuschlagen

Der Vorfall kommt zu einem denkbar ungünstigen Zeitpunkt für Meta. Der Konzern kämpft bereits mit zahlreichen regulatorischen Herausforderungen in der EU. Die Datenschutz-Grundverordnung verpflichtet Unternehmen zu „Privacy by Design” – also Datenschutz bereits in der Systemarchitektur.

Dass sich Metadaten in diesem Ausmaß ohne automatische Abwehrmechanismen abgreifen ließen, dürfte die irische Datenschutzkommission auf den Plan rufen. Meta könnte eine Untersuchung drohen.

„Aus Compliance-Sicht ist das ein Weckruf”, sagt Markus Weber, Wiener Datenschutzanwalt. „Auch wenn Meta argumentiert, es habe kein ‚Leak’ gegeben, weil die Daten technisch öffentlich waren – die Möglichkeit, diese Daten global zu aggregieren, verstößt gegen den Grundsatz der Datenminimierung im EU-Recht.”

Für Unternehmen, die WhatsApp für Kundenkommunikation nutzen, birgt die Enthüllung konkrete Risiken. Zwar blieben Nachrichteninhalte sicher, doch die Möglichkeit, Unternehmensstrukturen und Mitarbeiterkontakte durch Scraping zu erfassen, stellt ein reales Gegenaufklärungsrisiko dar.

Kein Einzelfall: WhatsApps Scraping-Geschichte

2022 tauchte bereits eine Datenbank mit angeblich 500 Millionen WhatsApp-Nummern im Darknet auf – Meta bestritt damals die Herkunft der Daten. Die Kontaktabfrage-Funktion ist seit Jahren als zweischneidiges Schwert bekannt: Sie treibt das Nutzerwachstum, macht aber das System anfällig für systematische Abfragen.

Das Problem betrifft auch Konkurrenten wie Signal und Telegram, doch WhatsApps schiere Größe macht den Dienst zum lukrativsten Ziel. Die Wiener Forscher hatten Meta bereits früher auf theoretische Schwachstellen hingewiesen – doch die spezifische Ratenlimit-Lücke wurde erst im Oktober 2025 definitiv geschlossen.

Was Nutzer jetzt tun sollten

Die unmittelbare Gefahr ist durch Metas Patch gebannt. Die Langzeitfolgen bleiben abzuwarten.

Regulatorische Konsequenzen: Eine EU-Untersuchung erscheint wahrscheinlich. Bei Fahrlässigkeit könnten Bußgelder fällig werden, berechnet als Prozentsatz des globalen Umsatzes. Die „Responsible Disclosure” könnte strafmildernd wirken.

Produktänderungen: WhatsApp testet bereits Nutzernamen-Features in Betaversionen, die Verbindungen ohne Telefonnummer ermöglichen. Sicherheitsexperten fordern, diese Funktion zu beschleunigen.

Nutzerverantwortung: Experten raten dringend zur Überprüfung der Privatsphäre-Einstellungen. „Die Forscher konnten nur auf Profilbilder und Infotexte zugreifen, die auf ‚Jeder’ gesetzt waren”, erklärt Kovic. „Wir empfehlen dringend, diese auf ‚Meine Kontakte’ zu ändern.”

Der „massive Leak” bleibt vorerst ein akademischer Proof-of-Concept statt krimineller Datenbeute. Doch die Studie, die 2026 auf dem NDSS-Sicherheitssymposium präsentiert wird, macht deutlich: Die Grenze zwischen sicherer Plattform und offenem Buch ist oft dünner als gedacht.

Anzeige

PS: Wenn Sie nach dem WhatsApp-Skandal Ihre Privatsphäre weiter stärken wollen, ist ein kurzer Sicherheits-Check Ihres Smartphones sinnvoll. Das Gratis-Sicherheitspaket zeigt die fünf wichtigsten Maßnahmen, darunter wie Sie Profilfotos und Kontaktfreigaben sicher einschränken, App-Berechtigungen prüfen und automatische Updates konfigurieren. Ideal für alle, die WhatsApp, Online-Banking oder Payment-Apps auf dem Handy nutzen. Jetzt Sicherheits-Paket anfordern

@ boerse-global.de
Die besten Black Friday Angebote für