WhatsApp: Sicherheitslücke betraf 3,5 Milliarden Nutzer

Forscher der Universität Wien deckten eine massive Schwachstelle auf. Durch die Lücke konnten Milliarden Profile systematisch ausgelesen werden – die Daten könnten eine neue Phishing-Welle befeuern.

Wien/Menlo Park. Es ist eine Entdeckung von historischem Ausmaß. Forscher der Universität Wien und des Forschungszentrums SBA Research legten eine gravierende Schwachstelle in WhatsApp offen. Durch diese Lücke ließen sich Daten von 3,5 Milliarden Nutzerkonten weltweit systematisch abgreifen – praktisch die gesamte aktive Nutzerbasis des Messengers.

So funktionierte der “Contact Discovery”-Hack

Das Herzstück der Entdeckung liegt im “Contact Discovery”-Mechanismus. Diese Funktion gleicht normalerweise Kontakte im Adressbuch mit der WhatsApp-Datenbank ab, um anzuzeigen, wer den Messenger nutzt.

Viele Android-Nutzer übersehen diese 5 Sicherheitsmaßnahmen – genau die Lücken, die Lecks wie das aktuelle WhatsApp-Scraping gefährlich machen. Der kostenlose Sicherheits-Guide zeigt Ihnen Schritt für Schritt, welche Einstellungen (App‑Berechtigungen, automatische Updates, sichere Backups) sofort schützen und wie Sie Phishing-Nachrichten zuverlässig erkennen. Ideal für alle, die WhatsApp, Online-Shopping und Banking auf dem Smartphone sicher nutzen wollen. Gratis-Sicherheitspaket für Android herunterladen

Die österreichischen Forscher Gabriel Gegenhuber und Aljosha Judmayer fanden heraus: Der Mechanismus war kaum gegen massenhafte Abfragen geschützt. Über 100 Millionen Telefonnummern pro Stunde ließen sich automatisiert abfragen.

“Das System antwortete bereitwillig auf jede Anfrage, ohne zu blockieren”, erklärten die Forscher. Durch systematisches “Durchprobieren” von Nummernkreisen konnten sie verifizieren, welche Telefonnummern weltweit bei WhatsApp registriert sind – inklusive öffentlicher Profildaten.

Diese Daten waren einsehbar

Die Inhalte Ihrer Chats waren nicht betroffen. Die Ende-zu-Ende-Verschlüsselung schützte weiterhin alle Nachrichten. Doch die sogenannten “Metadaten” bergen ihre eigene Gefahr.

Folgende Informationen waren massenhaft abrufbar:

• Profilbilder: Nutzbar für Identitätsdiebstahl oder Deepfake-Betrug
• “Info”-Texte: Oft verraten Statusmeldungen persönliche Details
• Online-Status: Wann ist ein Nutzer aktiv?
• Geräte-Informationen: Rückschlüsse auf das genutzte Betriebssystem

Diese Daten sind Goldstaub für Cyberkriminelle. Ein Angreifer, der weiß, wie Sie aussehen, welches Handy Sie nutzen und wann Sie online sind, kann Phishing-Angriffe konstruieren, die kaum noch von echter Kommunikation zu unterscheiden sind.

Black-Friday-Betrüger bekommen neue Munition

Der Zeitpunkt ist brisant. Bereits jetzt rollt eine massive Welle von Betrugsversuchen durchs Netz, die sich an Schnäppchenjäger richtet. Sicherheitsexperten befürchten, dass Daten aus solchen Lecks diese Angriffe verfeinern könnten.

“Wir sehen eine Zunahme von Betrugsversuchen, die nicht mehr als plumpe Massen-SMS daherkommen, sondern den Nutzer mit persönlicher Ansprache täuschen”, warnt ein IT-Sicherheitsexperte.

Klassische Betrugsmaschen wie der “Hallo Mama/Papa”-Trick gewinnen durch echte Profildaten massiv an Glaubwürdigkeit. Wenn ein Betrüger Ihr Profilbild kopiert und Ihre Verwandten kontaktiert, steigt die Erfolgswahrscheinlichkeit dramatisch.

Meta: “Keine Beweise für Missbrauch”

Meta hat reagiert und die Sicherheitslücke durch “Rate-Limiting”-Maßnahmen geschlossen. Das Unternehmen betont, es gebe “keine Hinweise darauf, dass böswillige Akteure diese Schwachstelle ausgenutzt haben”.

Kritiker halten dagegen: Die Natur der Schwachstelle macht es extrem schwierig, einen Missbrauch im Nachhinein festzustellen. Da die Abfragen über legitime Funktionen liefen, könnten Hacker jahrelang unbemerkt Daten gesammelt haben.

Die Forscher informierten Meta vor der Veröffentlichung im Rahmen eines “Responsible Disclosure”-Verfahrens. So blieb Zeit für Reparaturen.

Metadaten: Das unterschätzte Risiko

Dieser Vorfall erinnert stark an das Facebook-Datenleck von 2021, bei dem Telefonnummern von 533 Millionen Nutzern im Netz landeten. Er unterstreicht ein strukturelles Problem zentralisierter Messenger: Die Bequemlichkeit automatischer Kontaktfindung kollidiert mit dem Datenschutz.

“Ende-zu-Ende-Verschlüsselung schützt den Inhalt, aber nicht den Kontext der Kommunikation”, so das Fazit der Experten. Solange Plattformen erlauben, dass jeder, der Ihre Nummer hat oder errät, Ihr Profil sehen kann, bleibt ein Restrisiko.

So schützen Sie sich jetzt

Auch wenn die technische Lücke geschlossen ist, bleiben potenziell abgeflossene Daten “da draußen”. Nutzer sollten ihre Privatsphäre-Einstellungen sofort überprüfen.

Handeln Sie heute:

1. Sichtbarkeit einschränken: Gehen Sie auf Einstellungen > Datenschutz. Setzen Sie “Profilbild”, “Info” und “Zuletzt online” auf “Meine Kontakte” oder “Niemand”. Niemals “Jeder” wählen.

2. 2-Faktor-Authentifizierung aktivieren: Der wichtigste Schutz gegen Konto-Übernahmen. Aktivieren Sie die PIN-Sperre unter Einstellungen > Konto > Verifizierung in zwei Schritten.

3. Gesunde Skepsis: Seien Sie in den kommenden Wochen extrem misstrauisch bei Nachrichten von unbekannten Nummern – selbst wenn diese Ihr Profilbild oder Namen zu kennen scheinen.

Meta wird voraussichtlich in zukünftigen Updates weiter einschränken, wer wen auf der Plattform finden kann, um solche “Scraping”-Attacken dauerhaft zu unterbinden.

PS: Wenn Kriminelle Metadaten auslesen können, reicht ein falscher Klick – besonders jetzt zur Black‑Friday‑Saison. Das kostenlose Android‑Schutzpaket erklärt kompakt die 5 wichtigsten Maßnahmen: sichere Privatsphäre‑Einstellungen, App‑Berechtigungs‑Checks, automatische Updates, Backup‑Strategien und Zwei‑Faktor‑Absicherung. Holen Sie sich die Schritt‑für‑Schritt‑Checkliste, damit Sie Ihr Smartphone schnell und wirkungsvoll schützen. Jetzt kostenloses Android‑Schutzpaket anfordern