Es klingt wie der Plot eines Cyber-Thrillers, ist aber Realität: Forscher haben eine Sicherheitslücke entdeckt, die es ermöglichte, praktisch jeden einzelnen WhatsApp-Nutzer auf diesem Planeten zu identifizieren. Ist das der größte Datenabfluss der Geschichte?
Stell dir vor, es gäbe ein Telefonbuch, in dem nicht nur die Nummern deiner Freunde stehen, sondern die von jedem. Und mit „jedem“ meinen wir 3,5 Milliarden Menschen – also fast die Hälfte der Weltbevölkerung. Genau dieses Szenario ist durch eine massive Sicherheitslücke bei WhatsApp kurzzeitig Wirklichkeit geworden.
Was ist passiert?
Sicherheitsforscher der Universität Wien und von SBA Research haben heute eine Bombe platzen lassen (metaphorisch gesprochen). Sie entdeckten eine Schwachstelle im sogenannten „Contact Discovery Mechanismus“ von WhatsApp. Normalerweise dient diese Funktion dazu, deine Kontakte mit den WhatsApp-Servern abzugleichen, damit du siehst, wer von deinen Freunden die App nutzt. Doch die Forscher fanden heraus, dass dieser Mechanismus keinerlei wirksame Begrenzung hatte.
Das Erschreckende: Sie konnten über 100 Millionen Telefonnummern pro Stunde abfragen. Durch diesen massiven Angriff gelang es ihnen, 3,5 Milliarden aktive WhatsApp-Konten weltweit zu bestätigen.
Welche Daten waren sichtbar?
Das Wichtigste vorweg: Deine Chat-Nachrichten waren sicher. Dank der Ende-zu-Ende-Verschlüsselung konnte niemand deine privaten Unterhaltungen mitlesen. Aber die Metadaten, die offenlagen, sind Goldstaub für Betrüger:
-
Telefonnummern: Die Bestätigung, dass eine Nummer aktiv ist und zu einem WhatsApp-Konto gehört.
-
Profilbilder: Wenn deine Privatsphäre-Einstellungen auf „Jeder“ standen, konnte man dein Bild herunterladen.
-
Info-Texte: Dein „About“-Status (früher „Status“).
-
Online-Status & Zeitstempel: Wann warst du zuletzt online?
-
System-Infos: Metadaten ließen sogar Rückschlüsse auf dein Betriebssystem zu.
Warum ist das gefährlich?
„Aber meine Nummer haben doch eh viele Leute“, magst du denken. Das Problem ist die Masse und die Verknüpfung.
Mit einem Datensatz dieser Größe können Kriminelle gezielte Phishing-Attacken und Scam-Anrufe in einer neuen Dimension starten. Sie wissen genau, welche Nummern aktiv genutzt werden. Alte Datenbanken (wie das Facebook-Leck von 2021 mit „nur“ 500 Millionen Nummern) wirken dagegen fast wie eine kleine Excel-Tabelle. Fast die Hälfte der Nummern aus dem alten Leck sind übrigens immer noch aktiv, wie die Forscher feststellten.
Entwarnung (vorerst)
Die gute Nachricht: WhatsApp hat die Lücke bereits geschlossen.
Die Forscher informierten den Mutterkonzern Meta vor der Veröffentlichung über das Problem, und das Leck wurde behoben. Es gibt derzeit keine Hinweise darauf, dass Kriminelle diese Lücke vor den Forschern im gleichen Ausmaß ausgenutzt haben – ausschließen lässt sich das aber nie ganz.
Was du jetzt tun solltest
Auch wenn die Lücke geschlossen ist, zeigt dieser Vorfall, wie gläsern wir sind. Hier sind drei Dinge, die du sofort prüfen solltest:
-
Profilbild & Info: Stelle in den WhatsApp-Einstellungen (unter Datenschutz) sicher, dass dein Profilbild und deine Info nur für „Meine Kontakte“ sichtbar sind.
-
Sei misstrauisch: Erwarte eine Welle von Spam-Anrufen oder Nachrichten von unbekannten Nummern. Klicke niemals auf Links in Nachrichten von Fremden.
-
Zwei-Faktor-Authentifizierung (2FA): Aktiviere die Verifizierung in zwei Schritten in WhatsApp, um dein Konto vor Übernahmen zu schützen.
Fazit: Dieser Vorfall ist eine Erinnerung daran, dass Bequemlichkeit (einfaches Finden von Freunden) oft auf Kosten der Sicherheit geht. Wir sind vielleicht knapp dem „größten Datenabfluss der Geschichte“ entgangen, aber der Warnschuss war laut genug.
Letzte Aktualisierung am
