WhatsApp: Forscher erfassten fast alle Nutzerkonten weltweit
18.01.2026 - 03:56:11
Sicherheitsforscher nutzten eine kritische Lücke in WhatsApp, um rund 3,5 Milliarden aktive Konten zu identifizieren. Die Schwachstelle in der Kontakterkennung ermöglichte es, Telefonnummern im großen Stil zu überprüfen. Mutterkonzern Meta hat das Leck inzwischen geschlossen.
Die Forscher von der Universität Wien und SBA Research deckten eine der größten Datenschutzpannen bei dem Messenger auf. Sie erstellten durch massenhafte Abfragen eine Datenbank mit fast der gesamten globalen Nutzerbasis. Die Lücke lag in der Contact-Discovery-Funktion, die eigentlich Kontakte aus dem Adressbuch finden soll.
So funktionierte die gefährliche API-Lücke
Das Problem war eine fehlende wirksame Begrenzung der Abfragerate. Die WhatsApp-API ließ es zu, pro Stunde über 100 Millionen Telefonnummern systematisch zu prüfen. Ein Schutzmechanismus gegen solche Massenanfragen war nicht wirksam.
Viele Nutzer sind nach Berichten über die WhatsApp-Panne verunsichert – Forscher konnten angeblich Milliarden Konten auslesen und Millionen Telefonnummern pro Stunde prüfen. Wenn Sie Ihre Privatsphäre schützen möchten, zeigt ein kostenloser Telegram-Umstiegs-Report Schritt für Schritt, wie Sie sicher wechseln, welche Einstellungen (Nummer verbergen, geheime Chats, Privatsphäre-Optionen) Sie sofort aktivieren sollten und wie der Wechsel für Android und iPhone funktioniert. Gratis-Report: Sicher zu Telegram wechseln
Die Forscher konnten so ganze Rufnummernbereiche weltweit durchsuchen. Bei einem Treffer lieferte die API nicht nur eine Kontobestätigung, sondern oft auch:
* Öffentliche Profilbilder
* Status-Texte
* Den “Zuletzt online”-Status
Diese Daten waren zugänglich, sofern Nutzer ihre Privatsphäre-Einstellungen nicht maximal eingeschränkt hatten.
Globale Risiken: Perfekte Grundlage für Angriffe
Die Konsequenzen sind alarmierend. Kriminelle hätten mit den Daten riesige Verzeichnisse für gezielte Attacken aufbauen können. Allein die Verknüpfung von Nummer, Profilbild und Status ist perfekt für Phishing und Social Engineering.
Aus ihren Daten zogen die Forscher weitere Rückschlüsse. Ihre Analyse ergab eine globale Verteilung von:
* 81 Prozent Android-Nutzer
* 19 Prozent iOS-Nutzer
Die Studie unterstreicht das grundsätzliche Risiko der Telefonnummer als primärem Identifikator. Der Nummernraum ist begrenzt und damit systematisch überprüfbar – eine gefährliche Kombination.
Metas Reaktion: Lücke geschlossen, Fragen offen
Nach der Meldung durch die Forscher reagierte Meta und schloss die Schwachstelle. Der Konzern implementierte strengere Ratenbegrenzungen, die Massenabfragen unterbinden sollen. Meta gibt an, es gebe keine Hinweise auf eine frühere böswillige Ausnutzung.
Sicherheitsexperten bleiben skeptisch. Eine lückenlose Überprüfung vergangener API-Zugriffe sei kaum möglich. Die Methode der Nutzer-Enumeration ist bekannt – eine frühere, unbemerkte Ausnutzung durch andere Akteure kann nicht ausgeschlossen werden.
Altes Problem in neuem Gewand
Der Vorfall reiht sich in eine Serie von Datenschutzbedenken bei Meta ein. Er zeigt: Selbst bei Ende-zu-Ende-Verschlüsselung sind die Metadaten der Nutzer ein verwundbares Gut.
Die Forscher zogen eine beunruhigende Parallele: Fast die Hälfte der 500 Millionen Telefonnummern aus einem Facebook-Leck von 2021 identifizierten sie als weiterhin aktive WhatsApp-Konten. Das verdeutlicht die Langlebigkeit der Risiken einmal kompromittierter Daten.
Die detaillierten Ergebnisse wollen die Forscher Ende Februar auf dem NDSS Symposium vorstellen. Die Veröffentlichung dürfte die Diskussion über sichere, datenschutzfreundlichere Identifikationsmethoden jenseits der Telefonnummer weiter anheizen.
PS: Wenn Sie nach der WhatsApp-Panne mehr Kontrolle über Ihre Chats und Metadaten wollen, hilft das kostenlose Telegram-Startpaket mit einer klaren Schritt-für-Schritt-Anleitung: Einrichtung, Nummer verbergen, geheime Chats und die wichtigsten Privatsphäre-Einstellungen für Android und iPhone. Ideal für Nutzer, die schnell mehr Datenschutz wünschen. Telegram-Startpaket jetzt kostenlos anfordern
