WhatsApp: 3,5 Milliarden Nutzerprofile lagen monatelang offen

Meta steht vor dem größten Datenschutz-Desaster seiner Geschichte. Wiener Sicherheitsforscher enthüllten heute, wie Angreifer systematisch das komplette WhatsApp-Nutzerverzeichnis abgreifen konnten – während der Konzern mit KI-Features und Screenshot-Sperren ablenkte.

Ein Team der Universität Wien und des SBA Research demonstrierte heute, wie über sechs Monate praktisch jedes WhatsApp-Konto weltweit erfasst werden konnte. Die Bilanz: 3,5 Milliarden betroffene Nutzerprofile. Profilbilder, Statusmeldungen und Online-Zeiten lagen offen – trotz Ende-zu-Ende-Verschlüsselung der Chats.

Die brisante Frage: Wo landen diese Daten? Fließen sie in Metas KI-Trainingsdatensätze? Während Nutzer sich auf die Verschlüsselung ihrer Nachrichten verließen, öffnete eine andere Funktion Tür und Tor.

Contact Discovery als Einfallstor

Das Problem liegt nicht in einem raffinierten Hack, sondern in einer bewussten Designentscheidung. Die “Contact Discovery”-Funktion, die automatisch das Adressbuch mit WhatsApp abgleicht, wurde zur offenen Flanke.

Passend zum Thema Datenschutz: Wenn Ihre Telefonnummer plötzlich zum Schlüssel für fremde Profile wird, sollten Sie über eine sichere Alternative nachdenken. Das kostenlose Telegram-Startpaket zeigt Schritt für Schritt, wie Sie Telegram einrichten, Ihre Nummer verbergen und geheime Chats sowie weitere Datenschutzeinstellungen nutzen. Die Anleitung ist einfach verständlich und eignet sich auch für weniger technikaffine Nutzer. Telegram-Startpaket gratis anfordern

Forscher Gabriel Gegenhuber und sein Team zeigten: Angreifer generierten automatisiert Milliarden von Telefonnummern und prüften über die WhatsApp-Schnittstelle, ob ein Konto existiert. Der Server lieferte bereitwillig zurück: Profilbild in voller Auflösung, Info-Text und Online-Status.

Besonders pikant: Meta kannte die Schwachstelle seit Herbst 2024. Erst heute, nach massivem Druck der Forscher, reagierte der Konzern. In der Zwischenzeit könnten die Daten längst in dubiosen Datenbanken oder KI-Trainingsdatensätzen gelandet sein.

Screenshot-Sperren? Reine Augenwischerei

Meta führte 2024 und 2025 diverse Funktionen ein, um die Sichtbarkeit von Profildaten einzuschränken. Die viel beachtete Screenshot-Sperre für Profilbilder entpuppt sich nun als Sicherheitstheater.

Die Sperre verhindert lediglich, dass jemand auf dem Smartphone ein Bild abfotografiert. Gegen direktes Abfragen der Bild-URL über die Programmierschnittstelle war sie machtlos.

“Nutzer wähnten sich in Sicherheit, weil sie ‘Niemand’ oder ‘Meine Kontakte’ eingestellt hatten”, erklärt ein IT-Sicherheitsanalyst. “Doch die Telefonnummer selbst wurde zum öffentlichen Schlüssel für das Profil.” Die Kontrolle über die eigene Sichtbarkeit war eine Illusion.

Trainiert Meta AI mit geleakten Daten?

Seit Mai 2025 nutzt Meta in Europa offiziell “öffentliche Inhalte” zum Training seiner KI-Modelle – sofern Nutzer nicht widersprechen. Der heutige Vorfall wirft eine beunruhigende Frage auf: Gelten durch Scraping verfügbar gemachte Profildaten als Freiwild für KI-Training?

Verbraucherschützer warnen vor verschwimmenden Grenzen zwischen “privat” und “öffentlich”. WhatsApp bietet zwar einen “Privacy Checkup” und versteckte Widerspruchsformulare – die Beweislast liegt aber beim Nutzer.

“Wenn 3,5 Milliarden Gesichter und Statusmeldungen potenziell in KI-Modelle einfließen, sprechen wir von einem globalen Verlust der biometrischen Kontrolle”, warnt die Verbraucherzentrale. Die Forderung ist klar: Meta muss transparent offenlegen, ob betroffene Daten aus den KI-Trainingssets entfernt werden – technisch ein fast unmögliches Unterfangen.

Benutzernamen und PINs als Rettungsanker

Experten sind sich einig: Nur die vollständige Entkopplung von der Telefonnummer löst das Problem. WhatsApp arbeitet bereits an Benutzernamen und PINs, deren Einführung nun beschleunigt werden dürfte.

Das Prinzip: Nutzer teilen künftig nur noch einen einzigartigen Benutzernamen wie @user_2025. Wer diesen Namen nicht kennt, findet das Profil nicht. Contact Discovery via Telefonnummer läuft ins Leere. Eine zusätzliche PIN verhindert, dass Spam-Bots Nutzer anschreiben können.

Dieser ursprünglich für Ende 2025 geplante Schritt muss jetzt oberste Priorität werden.

Ein Cambridge-Analytica-Moment für Messenger

Der 20. November 2025 könnte als Zäsur in die Geschichte der Messenger-Dienste eingehen. Ähnlich wie beim Facebook-Skandal um Cambridge Analytica zeigt sich die Verwundbarkeit zentralisierter Plattformen, die auf dem Telefonbuch basieren.

Die EU-Kommission steht unter Druck, härter zu regulieren. Meta drohen Rekordstrafen nach DSGVO, da “Privacy by Design” offensichtlich versagte. Konkurrenten wie Signal oder Threema, die längst auf IDs statt Telefonnummern setzen, dürften in den kommenden Tagen massiven Zulauf erhalten.

Was Nutzer jetzt erwarten können

Für die kommenden Wochen ist mit aggressiver Schadensbegrenzung zu rechnen:

• Sofortige Server-Anpassungen: Contact Discovery wird drastisch eingeschränkt, neue Kontakte erscheinen möglicherweise verzögert
• Beschleunigter Username-Rollout: Die Option, die Telefonnummer zu verbergen, kommt voraussichtlich noch vor Jahresende weltweit
• Neue KI-Datenschutz-Tools: Meta könnte prominentere Opt-Out-Buttons für KI-Training einführen

Die dringende Empfehlung der Experten: Überprüfen Sie im Datenschutz-Check die Sichtbarkeit Ihres Profilbildes und stellen Sie diese auf “Nur meine Kontakte”. Auch wenn das keinen hundertprozentigen Schutz gegen API-Scraping bot – es ist ein erster Schritt der digitalen Hygiene.

PS: Genervt von unklaren Privatsphäre-Einstellungen und unsicheren Profilen? Der kostenlose Telegram-Report erklärt in klaren Schritten den schnellen Umstieg von WhatsApp, zeigt, wie Sie Ihre Nummer verbergen, sichere Geheimchats aktivieren und die wichtigsten Einstellungen für maximale Privatsphäre setzen. Ideal, wenn Sie sofort Schutz vor API-Scraping und neugierigen Datenabfragen suchen. Telegram-Umstieg leicht gemacht