WhatsApp-Lücke: 3,5 Milliarden Nutzerkonten ausgelesbar

Forscher der Universität Wien konnten durch eine Schwachstelle in WhatsApp über 100 Millionen Telefonnummern pro Stunde abfragen. Die Lücke in der “Contact Discovery”-Funktion ermöglichte den Zugriff auf Metadaten von 3,5 Milliarden aktiven Nutzerkonten weltweit – inklusive Profilbildern, Public Keys und Geräteinformationen. Meta hat die Schwachstelle inzwischen geschlossen.

Server ohne Schutz: 100 Millionen Anfragen pro Stunde

Die WhatsApp-Server begrenzten die Anzahl der Anfragen von einer Quelle nicht ausreichend. Diese Schwäche nutzte das Forscherteam um Gabriel Gegenhuber systematisch aus. „Üblicherweise sollten nicht so viele Anfragen in so kurzer Zeit und von einer Quelle beantwortet werden. Darin lag die Sicherheitslücke”, erklärt der Hauptautor.

Das Ergebnis: Eine globale Erhebung über 245 Länder hinweg. Die Forscher identifizierten eine Untergrenze von 3,5 Milliarden aktiven Konten – und das ohne großen technischen Aufwand.

Forscher fanden, dass WhatsApp-Metadaten Millionen Nutzer offenlegen – ein Weckruf für Android-Nutzer. Unser Gratis-Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Ihr Smartphone: sichere App‑Einstellungen, Regeln für Kontaktfreigabe, geprüfte App‑Auswahl, automatische Updates und Backups. Schritt-für-Schritt-Anleitungen zeigen genau, wie Sie WhatsApp & Co. so einstellen, dass Metadaten weniger preisgegeben werden. Ideal für alle, die WhatsApp, Online‑Banking oder Shopping auf dem Handy nutzen. Gratis-Sicherheitspaket für Android herunterladen

Welche Daten lagen offen?

Die Ende-zu-Ende-Verschlüsselung schützte zwar die Nachrichteninhalte. Die Metadaten jedoch waren frei zugänglich:

• Kryptografischer Public Key und Zeitstempel des Kontos
• Profilbild und Info-Text bei nicht eingeschränkten Datenschutzeinstellungen
• Betriebssystem (Android oder iOS)
• Kontoalter und Anzahl verknüpfter Geräte
• Standortdaten: Millionen aktive Konten in Ländern wie China oder Iran, wo WhatsApp offiziell blockiert ist

Aljosha Judmayer von der Universität Wien warnt: „Diese Ende-zu-Ende-Verschlüsselung schützt den Inhalt von Nachrichten, aber nicht unbedingt die damit verbundenen Metadaten. Unsere Arbeit zeigt, dass Datenschutzrisiken auch entstehen können, wenn solche Metadaten in großem Umfang gesammelt werden.”

Warum Metadaten so wertvoll sind

Cyberkriminelle, staatliche Akteure oder Marketingfirmen brauchen keine Nachrichten zu lesen. Metadaten liefern ihnen detaillierte Einblicke in Nutzungsverhalten, soziale Netzwerke und demografische Merkmale – ein Datenschatz ohne Entschlüsselungsaufwand.

Die sogenannte “User Enumeration” ist kein neues Angriffsszenario. Die schiere Größe von WhatsApp macht solche Lücken jedoch besonders brisant. Der Dienst ist für Milliarden Menschen die zentrale Kommunikationsplattform.

Meta reagiert – Nutzer sollten nachziehen

Die spezifische Lücke ist geschlossen. Meta dürfte seine Rate-Limiting-Protokolle weiter verschärfen, um massenhafte Datenabfragen künftig zu verhindern. Die Ergebnisse werden 2026 auf dem renommierten Network and Distributed System Security (NDSS) Symposium vorgestellt.

Was Nutzer jetzt tun sollten: Datenschutzeinstellungen überprüfen und Profilbild sowie Status nur für Kontakte sichtbar machen. Der Vorfall zeigt einmal mehr, dass Benutzerfreundlichkeit und robuste Sicherheit oft im Widerspruch stehen – und dass unabhängige Sicherheitsforschung unverzichtbar bleibt.

PS: Datensammel-Fälle wie dieser zeigen, wie leicht Metadaten missbraucht werden können. Holen Sie sich das kostenlose Android-Sicherheitspaket mit praktischen Checklisten und sofort umsetzbaren Schritten – von Datenschutzeinstellungen in WhatsApp bis zu Empfehlungen für sichere Apps und Update-Strategien. In wenigen Minuten erfahren Sie, welche Einstellungen sofort schützen und welche Sie unbedingt ändern sollten. Jetzt kostenloses Android-Sicherheitspaket anfordern