WhatsApp: Milliarden Nutzerdaten offen gelegt – Forscher warnen vor realen Risiken

In Kürze:

• Forscher in Wien riefen die Nummern aller WhatsApp-Accounts ab – bei rund 3,5 Milliarden Konten.
• Sicherheitsmechanismen fehlten und Meta reagierte erst nach einem Jahr auf Hinweise.
• Daten offenbarten Wiederverwendung von Schlüsseln, potenziellen Betrug und sensible persönliche Angaben. Nachrichten waren nicht betroffen.
• Neue WhatsApp-Updates sollen Missbrauch künftig zu erschweren.

Forschern der Universität Wien und dem österreichischen Informationssicherheitsdienstleister SBA Research ist ein Coup der besonderen Art gelungen. Wie sie selbst in einer Ausarbeitung bekannt gaben, ist es ihnen gelungen, die Telefonnummern aller existierenden Konten des Messengerdienstes WhatsApp abzurufen.

Auf diese Weise ist es ihnen gelungen, Daten von nicht weniger als 3,5 Milliarden Profilen einzusehen und auszuwerten. Auf diese Weise legten die Forscher Unwägbarkeiten bezüglich der Datensicherheit offen, die unter Umständen gefährliche Folgen für Nutzer haben könnten. Der Meta-Konzern, zu dem WhatsApp gehört, habe erst mit deutlicher Verzögerung auf Hinweise geantwortet und Maßnahmen getroffen, kritisiert der Forscherverbund.

Der Inhalt von Chatnachrichten auf WhatsApp ist „Ende-zu-Ende-verschlüsselt“ und war zu keinem Zeitpunkt betroffen.

Wie das Forscherteam an die weltweiten Daten von WhatsApp gelangte

Es sei nicht schwierig gewesen, die Daten zu erschließen, hieß es vonseiten der Forscher. Sie hätten sich mit der ihnen zur Verfügung stehenden Infrastruktur nur der jedermann zugänglichen Abfragemöglichkeit der Server von WhatsApp bedient.

Diese ermöglicht es Mobilfunknutzern, die Nummern von Kontakten aus ihrem Adressbuch mit diesen abzugleichen, um zu erkunden, ob diese WhatsApp verwenden – vorausgesetzt, sie haben die Abfrage der Kontaktverfügbarkeit erlaubt.

[etd-related posts=“5204238″]

Es gehöre zur Natur der Sache, so die Forscher, dass der Dienst legitimen Nutzern diese Möglichkeit eröffne. Allerdings wäre es nötig gewesen, Ratenbegrenzungen festzulegen, um Missbrauch zu vermeiden. Das Forscherteam sei hingegen in der Lage gewesen, ungehindert mehr als 100 Millionen Telefonnummern pro Stunde auf ihre Verfügbarkeit bei WhatsApp zu testen.

Dabei wurde auch bekannt, dass etwa die Hälfte der 500 Millionen Telefonnummern, die 2021 über ein Facebook-Datenleck offengelegt wurden, nach wie vor auch auf WhatsApp aktiv sind.

Darüber hinaus konnten die Forscher über eine Zählung auch nachweisen, dass Schlüssel auf unterschiedlichen Geräten wiederverwendet worden seien. Zudem ließen sich diese bisweilen unterschiedlichen Telefonnummern zuordnen, was entweder auf unsichere Implementierungen oder betrügerische Aktivitäten hindeute.

Verbote in China, Myanmar und Iran wenig effektiv

Als ergiebig gestaltete sich der Versuch der Forscher, auf weitere Nutzerdaten zuzugreifen. Sie gelangten so auch an Gerätelisten, Profildaten, öffentliche Schlüssel und Profilfotos.

Zwar hatten die Nutzer diese Daten freiwillig öffentlich preisgegeben. Doch gelang es dem Team, Mechanismen von WhatsApp zu überwinden, die verhindern sollten, dass Unbefugte diese Daten abgreifen. Ferner reichten diese sogenannten Metadaten, auf die die Forscher zugreifen konnten, aus, um recht genaue Profile der Betroffenen zu erstellen.

[etd-related posts=“5149372″]

Auf dem Wege des Datenabgleichs war es etwa möglich, festzustellen, wie viele Nutzer von WhatsApp es in welchem Land gibt und ob sie Android oder iOS verwenden. Die meisten Nutzer gibt es in Indien, dahinter folgen Indonesien und Brasilien. In Deutschland existieren etwa 75 Millionen WhatsApp-Konten.

Myanmar und Nigeria als Hochburgen organisierter Betrüger

Nur fünf Konten gibt es in Nordkorea – und diese dürften staatlichen Organen zugeordnet sein. Offiziell verboten ist WhatsApp auch in Myanmar, Iran und China. Dennoch gibt es dort, wie aus der Untersuchung hervorging, Millionen Accounts.

So entdecken die Forscher 2,3 Millionen Konten in China und 1,6 Millionen Konten in Myanmar. Im Iran wurden sogar 59 Millionen aktive Konten identifiziert, was zwei Dritteln der Bevölkerung entspricht.

Sollten staatliche Organe an das Verzeichnis gelangen, könnte dies für Benutzer bestimmter Nummern Lebensgefahr bedeuten.

Auffällig war insbesondere mit Blick auf Myanmar – ebenso wie Nigeria – auch eine erhebliche Anzahl an öffentlichen Schlüsseln, die mehreren Geräten zuzuordnen waren. Dies könnte auf betrügerische Aktivitäten hinweisen.

So sei es wahrscheinlich, dass Betrüger groß angelegte Konten anlegen, die verschiedene Telefonnummern verwenden. Diese dienen offenbar dazu, sich bei entsprechenden Diensten anzumelden, Nutzer anzusprechen und anschließend auf WhatsApp zu locken, um sie um Geld zu betrügen.

[etd-related posts=“5163052″]

Etwa 30 Prozent aller WhatsApp-Nutzer haben auch von sich aus sensible Daten in ihre Profile eingetragen. So seien sogar Mitglieder der US-Regierung wie Kriegsminister Pete Hegseth und Nationale Sicherheitskoordinatorin Tulsi Gabbard über ihre Profilbilder als Nutzer erkennbar.

Wieder andere Nutzer lassen ihre politische Einstellung, ihre sexuelle Ausrichtung, ihre Religion und sogar ihre Affinität zum Konsum oder sogar zum Verkauf von Drogen erkennen.

Spät, aber doch: Meta reagiert mit Restriktionen auf Datenzugriff bei WhatsApp

Einige Accounts gaben Links zu Profilen auf Facebook oder LinkedIn, andere auch zu Tinder oder OnlyFans an. In manchen Fällen konnten mithilfe von Metadaten Rückschlüsse auf die Identität der Nutzer gewonnen werden. Manche gaben sogar E-Mail-Adressen an, die auf eine Tätigkeit für Militär oder Regierung schließen ließen. Diese erhöhen neben der Identifizierung auch das Risiko für gezielte Angriffe oder sogenanntes Doxxing, das Öffentlichmachen privater Informationen.

Das Team um Gabriel Gegenhuber und Philipp Frenzel informierte eigenen Angaben zufolge Meta bereits im September 2024 über seine Erkenntnisse. Es dauerte jedoch laut der Forscher über ein Jahr, bis der Konzern mit konkreten Maßnahmen reagierte.

[etd-related posts=“5200172″]

Mittlerweile gibt es ein Update von WhatsApp für Android. Dieses soll verhindern, dass Schlüssel eines anderen, früher auf dem Gerät verwendeten Kontos bei Neuanlegung wiederverwendet werden.

Außerdem ist die Anzahl der Abfragen von Profilbildern und Informationsfeldern mittlerweile begrenzt – außer für Business-Konten. Um dem massenhaften Abgleich von Telefonnummern entgegenzuwirken, setzt Meta neuerdings auch KI ein. Nun gibt es auch ein lebenslanges Limit für die maximale Anzahl an Abfragen pro WhatsApp-Konto.