Fast die Hälfte der Menschheit nutzt Whatsapp – das zeigt das wohl größte Datenleck der Geschichte. Denn die Daten von 3,5 Milliarden Accounts des Messengers ließen sich ohne größere Hürden jederzeit abrufen. Das ist gefährlicher, als man meinen könnte.
Entdeckt wurde das Rekord-Datenleck von Wissenschaftlern der Universität Wien bereits im September vergangenen Jahres. Zweimal konfrontierten sie Whatsapp-Mutterkonzern Meta mit ihren Erkenntnissen, erst beim zweiten Mal, kurz vor Veröffentlichung der Ergebnisse, reagierte der Konzern. Dabei ist das Ausmaß der abgerufenen Daten brisant.
Meinung Es reicht! Warum ich kurz davor bin, unserer Tochter Whatsapp zu verbieten
Whatsapp: Diese Daten aller Nutzer waren frei abrufbar
Die Forscher hatten nämlich die Daten nahezu sämtlicher bei Whatsapp registrierten Nutzer abrufen können. Zwar hatten sie keinen Zugriff auf die Chats, aber auf jede Menge andere Daten. So konnten sie den angezeigten Namen, die unter "Info" eingetragenen Daten, das Profilbild samt dem Datum der letzten Änderung, den Online-Status, die genutzten Geräte und in Millionen Fällen sogar Teile des Verschlüsselungs-Schlüssels abfragen.
Die Daten kamen dabei nicht von gut versteckten Servern, sondern einfach von Whatsapp selbst. Dazu nutzten die Wissenschaftler lediglich die Funktionsweise der Kontaktabfrage aus. Die erlaubt es Nutzern, die Nutzerdatenbank des Messengers mit den eingespeicherten Telefonnummern abzugleichen. So kann man die Kontakte einfach hinzufügen. Allerdings gibt es offenbar keine echte Begrenzung: Mit einem speziellen Setup fragten die Wissenschaftler einfach fast sämtliche Telefonnummer-Bereiche aller Länder der Erde ab. Und fanden unter den so geprüften 63 Milliarden Rufnummern genau 3.546.479.731 Whatsapp-Konten, die immer noch genutzt werden.
Dabei mussten sie keinerlei Verschleierung betreiben: Die Wissenschaftler riefen die Nummern bewusst alle von derselben IP-Adresse ab, die sich der Universität Wien zuordnen ließ. Das zeigt, wie gering die Sicherheitsmaßnahmen waren: Obwohl dieselbe IP-Adresse 63 Milliarden Abfragen mit 7000 Abfragen pro Sekunde stellte, scheint bei Whatsapp kein Sicherheitsmechanismus gegriffen zu haben. Zudem gab der Messenger-Betreiber zu, die Abfragen nicht bemerkt zu haben. Es ist also nicht auszuschließen, dass auch andere Gruppen mit weniger wohlmeinenden Motiven die Daten längst abgegriffen haben.
Messenger Neue Schreibhilfe bei Whatsapp – darum warnen Experten vor der Nutzung
Darum sind die Daten gefährlicher, als man denkt
Auch wenn das Datenleck pro Nutzer nur eine vergleichbar geringe Menge an Daten enthält, bergen diese durchaus Gefahren. In der Voreinstellung gibt Whatsapp Profilbild, Name und das Info-Feld an jeden heraus, der die Nummer abfragt. Das Profilbild war etwa nach einer Auswertung der Wissenschaftler bei 57 Prozent aller Nutzer frei abrufbar. Eine Auswertung aller 77 Millionen amerikanischen Profilbilder ergab zudem, dass zwei Drittel der Bilder mindestens ein menschliches Gesicht zeigten. In allen diesen Fällen hätte ein Angreifer also eine Kombination aus Name, Telefonnummer und Gesicht von gut der Hälfte der Whatsapp-Nutzer – einfach durch Ausprobieren.
Auch das von etwa 30 Prozent der Nutzer ausgefüllte Info-Feld gibt teilweise tiefe Einblicke. Viele Nutzer tragen dort den Beruf, E-Mail-Adressen und Links zu ihrer Homepage oder anderen sozialen Netzwerken ein. Auch die politische Einstellung, religiöse Bekenntnisse und sogar Links zu Onlyfans-Profilen fanden sich laut den Forschern.
Besonders heikel ist der leichte Zugang zu diesen Daten in Ländern, in denen Whatsapp eigentlich verboten ist. So fanden sich etwa trotz Verbot des Messengers in China Accounts mit 2,3 Millionen chinesischen Telefonnummern. Im Iran waren es 60 Millionen Accounts – fast zwei Drittel der dortigen Bevölkerung. Da wundert es nicht, dass das Verbot Ende 2024 aufgegeben wurde, selbst in Nordkorea gibt es fünf Whatsapp-Nutzer. Für die Nutzer in diesen Staaten ist der freie Abruf der Daten enorm gefährlich: Können die Regimes schnell und unkompliziert alle Nutzer des Messengers aufdecken und die Daten zuordnen, erlaubt ihnen das ein hartes Vorgehen gegen die Abweichler.
Mehrere Accounts und mehr An diesen neuen Features bastelt Whatsapp aktuell
So reagiert Whatsapp
Nach der Veröffentlichung betonte Whatsapp, dass es keinerlei Hinweise auf einen Abruf der Daten durch böswillige Akteure gebe – allerdings war dem Konzern auch der Abruf durch die Forscher nicht aufgefallen. Meta versucht, die Entdeckung als gemeinsame Bemühung zu verkaufen: "Durch diese Zusammenarbeit konnte eine neuartige Aufzählungstechnik identifiziert werden, die unsere vorgesehenen Grenzen überschritt und es den Forschern ermöglichte, grundlegende öffentlich zugängliche Informationen zu scrapen", heißt es in einem Statement. Unter Scraping versteht man den systematischen Abruf von Daten durch Dritte. Man habe bereits vorher an Gegenmaßnahmen gearbeitet, so der Konzern. "Und diese Studie war entscheidend für die Belastungsprüfung und die Bestätigung der unmittelbaren Wirksamkeit dieser neuen Abwehrmaßnahmen."
Tatsächlich hat der Konzern eine Höchstzahl von Abrufen definiert, die ein einzelnes Konto über die gesamte Nutzungsdauer abrufen kann. So sollen automatische Auswertungen verhindert werden, ohne die Alltagsnutzung des Features einzuschränken.
Die Wissenschaftler haben in der Studie noch weitere Tipps für die Nutzer parat: So sollte man die Sichtbarkeit des Profilbildes und des Info-Kastens auf Kontakte beschränken, die die eigene Nummer ebenfalls gespeichert haben. Das geht auch für den eigenen Nutzernamen.
Quelle: Studie, Wired
- Datenleck
- Universität Wien
- Profilbild
Haftungsausschluss: Das Urheberrecht dieses Artikels liegt bei seinem ursprünglichen Autor. Der Zweck dieses Artikels besteht in der erneuten Veröffentlichung zu ausschließlich Informationszwecken und stellt keine Anlageberatung dar. Sollten dennoch Verstöße vorliegen, nehmen Sie bitte umgehend Kontakt mit uns auf. Korrektur Oder wir werden Maßnahmen zur Löschung ergreifen. Danke
