WhatsApp-Leak, Milliarden

WhatsApp-Leak: 3,5 Milliarden Nutzer-Konten offengelegt

18.11.2025 - 18:29:12

WhatsApp-Leak: 3,5 Milliarden Nutzer-Konten offengelegt - Foto: über boerse-global.de
WhatsApp-Leak: 3,5 Milliarden Nutzer-Konten offengelegt - Foto: über boerse-global.de

Wiener Forscher entdecken massive Datenschutzlücke bei WhatsApp. Die Schwachstelle ermöglichte es, weltweit Milliarden Nutzerkonten zu identifizieren und Profildaten abzugreifen – ohne dass Meta es bemerkte.

Was nach einem harmlosen Kontaktabgleich klingt, entpuppte sich als Einfallstor für die wohl größte Datenpanne in der Geschichte des Messengerdienstes. Sicherheitsforscher der Universität Wien und von SBA Research nutzten die “Contact Discovery”-Funktion, um in industriellem Maßstab Telefonnummern zu überprüfen. Das Ergebnis: 3,5 Milliarden verifizierte WhatsApp-Konten in 245 Ländern – komplett mit Profilbildern und Statuszeilen.

Besonders brisant: Die Forscher konnten über 100 Millionen Nummern pro Stunde abfragen, ohne auf nennenswerte Schutzmechanismen zu stoßen. Meta hat die Lücke inzwischen geschlossen, doch die Dimension des Problems wirft grundsätzliche Fragen auf.

Das Forscherteam um Informatiker Gabriel Gegenhuber automatisierte einen Prozess, den WhatsApp-Nutzer täglich durchführen: den Abgleich ihrer Kontakte mit den WhatsApp-Servern. Normalerweise zeigt die App dadurch an, welche Freunde ebenfalls den Dienst nutzen. Die Forscher jedoch verwandelten diese Funktion in ein Werkzeug zur massenhaften Datensammlung.

Anzeige

Passend zum Thema Smartphone-Sicherheit: Viele Android-Nutzer übersehen genau die grundlegenden Schutzmaßnahmen, die solche Massendatenabfragen verhindern können. Ein kostenloses Sicherheitspaket erklärt praxisnah die 5 wichtigsten Schutzmaßnahmen – von richtigen App-Berechtigungen über automatische Updates bis zu sicheren Backup-Einstellungen – und zeigt Schritt für Schritt, wie Sie WhatsApp & Co. vor Datenklau schützen. Gratis-Sicherheitspaket für Android herunterladen

Die sogenannte “Enumeration” – das systematische Durchprobieren von Telefonnummern – lieferte nicht nur Informationen über die schiere Existenz der Konten. Bei 57 Prozent der identifizierten Profile war das Profilbild einsehbar, bei 29 Prozent der “Info”-Text. Hinzu kamen öffentliche Schlüssel, Zeitstempel von Profil-Updates und weitere Metadaten.

Noch erstaunlicher: Die Forscher entdeckten 2,3 Millionen aktive WhatsApp-Konten in China und 1,6 Millionen in Myanmar – Ländern, in denen der Dienst offiziell gesperrt ist. Ein Beleg dafür, wie weit verbreitet die Nutzung selbst in restriktiven Regimen ist. Für Nutzer dort ein erhebliches Risiko: Die gesammelten Daten könnten für Überwachung, Phishing oder gezielte Spam-Kampagnen missbraucht werden.

Meta reagiert – nach monatelanger Verzögerung

Die Forscher handelten verantwortungsvoll und informierten Meta bereits im April 2025 über ihre Entdeckung. Die Reaktion des Konzerns: zunächst verhalten. Erst im Oktober, ein halbes Jahr später, implementierte WhatsApp strengere Ratenbegrenzungen und Anti-Scraping-Mechanismen. In einer offiziellen Stellungnahme bezeichnete Meta die Daten als “grundlegende öffentlich verfügbare Informationen” und erklärte, keine Hinweise auf böswillige Ausnutzung gefunden zu haben.

Doch ist das wirklich beruhigend? Die Schwachstelle war keineswegs neu. Bereits 2017 hatte der niederländische Forscher Loran Kloeze eine ähnliche Technik beschrieben. Damals winkte Meta ab – die Datenschutzeinstellungen würden wie vorgesehen funktionieren, hieß es. Eine Belohnung aus dem Bug-Bounty-Programm gab es nicht.

Die aktuelle Studie zeigt jedoch: Das Problem wurde unterschätzt. Die schiere Geschwindigkeit und der Umfang, mit denen die Wiener Forscher Daten sammeln konnten, offenbaren eine fundamentale Schwäche in WhatsApps Architektur.

Wie funktionierte der Angriff technisch?

Der Kern der Schwachstelle lag in der fehlenden Kontrolle der “Contact Discovery”-Funktion. WhatsApp-Nutzer erlauben der App, auf ihre Kontakte zuzugreifen – ein Standard-Feature für bessere Benutzerfreundlichkeit. Die App sendet die Telefonnummern dann an Metas Server, um Übereinstimmungen zu finden.

Das Problem: Die Server begrenzten nicht ausreichend, wie viele Anfragen von einer einzelnen Quelle kommen durften. Die Forscher nutzten WhatsApp Web, um den Prozess zu skalieren und Abfragen in einem Tempo durchzuführen, das für normale Nutzer unmöglich wäre. Durch systematisches Durchprobieren aller möglichen Nummernfolgen für verschiedene Länder entstand ein nahezu vollständiges Verzeichnis aktiver Nutzer.

Die nun implementierten Schutzmaßnahmen sollen genau solche automatisierten Massenabfragen erkennen und blockieren. Doch bleibt die Frage: Warum hat es so lange gedauert?

Ein Weckruf für die Tech-Branche

Die Enthüllung reiht sich ein in eine Serie von Datenpannen bei großen Tech-Konzernen – von Facebook über LinkedIn bis Twitter. Sie zeigt: Selbst verschlüsselte Plattformen wie WhatsApp sind nicht immun gegen grundlegende Sicherheitsprobleme. Während die Ende-zu-Ende-Verschlüsselung die Inhalte von Nachrichten schützt, bleiben Metadaten ein wertvolles Ziel.

Wer kommuniziert wann mit wem? Wer ist überhaupt auf der Plattform aktiv? Solche Informationen sind für Datensammler und Angreifer Gold wert – auch ohne Zugriff auf die eigentlichen Chat-Inhalte. Die Studie unterstreicht die ständige Spannung zwischen Benutzerfreundlichkeit und Datenschutz. Automatische Kontaktsynchronisierung ist praktisch, schafft aber Angriffsflächen.

Ein weiterer Punkt: Die Bedeutung unabhängiger Sicherheitsforschung. Ohne das Engagement der Wiener Wissenschaftler wäre die Lücke möglicherweise unentdeckt geblieben – oder von Kriminellen ausgenutzt worden. Dass Meta auf frühere Warnungen nicht reagierte, wirft Fragen auf: Wie proaktiv gehen Tech-Giganten wirklich mit Sicherheitsrisiken um?

Was können Nutzer jetzt tun?

Die unmittelbare Gefahr ist gebannt, doch der Vorfall sollte zum Anlass genommen werden, die eigenen Datenschutzeinstellungen zu überprüfen. In den WhatsApp-Einstellungen unter “Datenschutz” lässt sich festlegen, wer Profilbild, “Info”-Text und “Zuletzt online”-Status sehen kann:

  • Jeder – maximale Sichtbarkeit, höchstes Risiko
  • Meine Kontakte – empfohlene Einstellung für die meisten Nutzer
  • Niemand – maximaler Schutz, aber eingeschränkte Funktionalität

Die Beschränkung auf “Meine Kontakte” reduziert das Risiko erheblich, dass Unbekannte Zugriff auf persönliche Informationen erhalten. Absolute digitale Privatsphäre bleibt jedoch eine Illusion. Ein bewusster Umgang mit den eigenen Daten ist unerlässlich.

Die Ergebnisse der Studie werden 2026 auf dem renommierten Network and Distributed System Security (NDSS) Symposium vorgestellt – und dürften weitere Diskussionen in der Sicherheitsbranche anstoßen. Bleibt zu hoffen, dass andere Messengerdienste aus WhatsApps Fehler lernen.

Anzeige

PS: Wenn Sie über einen sicheren Wechsel nachdenken, hilft das kostenlose Telegram-Startpaket beim Umstieg von WhatsApp – inklusive Schritt-für-Schritt-Anleitung, wichtigsten Datenschutzeinstellungen (Nummer verbergen, geheime Chats) und Tipps, wie Sie Kontakte sauber migrieren. Ideal für alle, die ihre Kommunikation dauerhaft privater gestalten möchten. Telegram-Startpaket jetzt anfordern

@ boerse-global.de
Die besten Black Friday Angebote für