WhatsApp-Skandal: 3,5 Milliarden Nutzer durch Sicherheitslücke bloßgestellt

Ein Forscherteam aus Wien hat eine erschreckende Sicherheitslücke bei WhatsApp aufgedeckt, die Milliarden von Nutzern weltweit betrifft. Die Wissenschaftler der Universität Wien und des Sicherheitsdienstleisters SBA Research konnten problemlos auf die Daten von sage und schreibe 3,5 Milliarden WhatsApp-Profilen zugreifen. Was diese Enthüllung besonders brisant macht: Der Meta-Konzern reagierte erst nach einem Jahr auf die Warnungen der Forscher.

Erschreckend einfacher Zugriff auf Milliarden Datensätze

Die Forscher nutzten keine ausgeklügelten Hacking-Methoden, sondern bedienten sich lediglich der öffentlich zugänglichen Abfragemöglichkeiten der WhatsApp-Server. Normalerweise dient diese Funktion dazu, Kontakte aus dem eigenen Adressbuch daraufhin zu überprüfen, ob sie WhatsApp nutzen. Doch hier offenbarte sich das gravierende Versäumnis: Es existierten keinerlei Ratenbegrenzungen, die einen Missbrauch hätten verhindern können.

Mit ihrer Infrastruktur gelang es dem Forscherteam, mehr als 100 Millionen Telefonnummern pro Stunde auf ihre WhatsApp-Verfügbarkeit zu testen. Ein Sicherheitsversagen, das in seiner Dimension kaum zu fassen ist. Besonders alarmierend: Etwa die Hälfte der 500 Millionen Telefonnummern, die bereits 2021 durch ein Facebook-Datenleck kompromittiert wurden, sind nach wie vor auf WhatsApp aktiv.

Sensible Daten in falschen Händen

Die Tragweite dieser Sicherheitslücke wird erst richtig deutlich, wenn man betrachtet, welche Informationen die Forscher einsehen konnten. Neben Telefonnummern gelangten sie an Gerätelisten, Profildaten, öffentliche Schlüssel und Profilfotos. Etwa 30 Prozent aller WhatsApp-Nutzer haben sensible persönliche Informationen in ihren Profilen hinterlegt – von politischen Einstellungen über sexuelle Orientierung bis hin zu religiösen Überzeugungen.

Besonders pikant: Selbst hochrangige Mitglieder der US-Regierung wie Verteidigungsminister Pete Hegseth und die Nationale Sicherheitskoordinatorin Tulsi Gabbard waren über ihre Profilbilder identifizierbar. Manche Nutzer gaben sogar E-Mail-Adressen preis, die auf eine Tätigkeit für Militär oder Regierungsbehörden schließen ließen.

Lebensgefahr in autoritären Staaten

In Ländern wie China, Myanmar und Iran, wo WhatsApp offiziell verboten ist, nutzen dennoch Millionen Menschen den Dienst. Die Forscher identifizierten 2,3 Millionen Konten in China, 1,6 Millionen in Myanmar und erschreckende 59 Millionen im Iran – das entspricht zwei Dritteln der iranischen Bevölkerung. Sollten staatliche Organe Zugriff auf diese Daten erhalten, könnte dies für die betroffenen Nutzer lebensgefährliche Konsequenzen haben.

Betrügerische Machenschaften aufgedeckt

Die Analyse förderte auch organisierte kriminelle Aktivitäten zutage. Besonders in Myanmar und Nigeria entdeckten die Forscher eine auffällig hohe Anzahl von öffentlichen Schlüsseln, die mehreren Geräten zugeordnet waren. Dies deutet auf groß angelegte Betrugsoperationen hin, bei denen Kriminelle verschiedene Telefonnummern verwenden, um potenzielle Opfer anzusprechen und sie anschließend auf WhatsApp um ihr Geld zu bringen.

Meta reagiert – aber viel zu spät

Was diese Enthüllung zu einem echten Skandal macht, ist die träge Reaktion des Meta-Konzerns. Obwohl die Forscher das Unternehmen bereits im September 2024 über ihre Erkenntnisse informierten, dauerte es über ein Jahr, bis konkrete Gegenmaßnahmen ergriffen wurden. Ein Armutszeugnis für einen Konzern, der Milliarden mit den Daten seiner Nutzer verdient.

Mittlerweile hat WhatsApp ein Update für Android veröffentlicht, das die Wiederverwendung von Schlüsseln verhindern soll. Zudem wurden Abfragen von Profilbildern und Informationsfeldern begrenzt, und KI wird eingesetzt, um massenhaften Datenabgleich zu unterbinden. Doch diese Maßnahmen kommen reichlich spät – der Schaden ist bereits angerichtet.

Ein Weckruf für die digitale Gesellschaft

Dieser Vorfall zeigt einmal mehr, wie fahrlässig Tech-Giganten mit unseren persönlichen Daten umgehen. Während die Politik sich mit Gendersternchen und Klimaneutralität beschäftigt, werden die wirklich drängenden Probleme unserer Zeit ignoriert. Die digitale Sicherheit von Milliarden Menschen wird aufs Spiel gesetzt, während unsere Bundesregierung lieber 500 Milliarden Euro Sondervermögen für fragwürdige Infrastrukturprojekte verschleudert.

Es ist höchste Zeit, dass wir uns auf das Wesentliche besinnen: den Schutz unserer Privatsphäre und unserer persönlichen Daten. In einer Zeit, in der physische Werte wie Gold und Silber als sichere Häfen gelten, sollten wir auch unsere digitalen Werte entsprechend schützen. Denn was nützt uns all die schöne neue Technologie, wenn sie uns am Ende mehr schadet als nutzt?