Eine Forschungsgruppe der Universität Wien hat demonstriert, wie eine eigentlich legitime Funktion in WhatsApp in ein Werkzeug für Massen-Scraping und Telefonnummern-Enumeration verwandelt werden kann. In Laborbedingungen bestätigten die Forschenden die Existenz von über 3,5 Milliarden aktiven WhatsApp-Konten und machten damit eines der größten bekannten Lecks von Messenger-Metadaten sichtbar – ohne die Ende-zu-Ende-Verschlüsselung zu brechen.
Wie die WhatsApp-Suche zum Werkzeug fuer Massen-Enumeration wurde
WhatsApp ermöglicht seit Jahren die Suche nach Nutzern über deren Telefonnummer. Diese Funktion ist aus Usability-Sicht sinnvoll, eröffnet aber Angriffsfläche: Es gibt keine inhärente Begrenzung, wie viele Nummern in kurzer Zeit abgefragt werden können. Genau hier setzten die Forschenden an und nutzten das Fehlen strenger Rate-Limits und Anti-Bot-Maßnahmen aus.
Mit Hilfe der Bibliothek Google libphonenumber generierte das Team rund 63 Milliarden formal gültige Telefonnummern aus unterschiedlichen Ländern. Jede dieser Nummern wurde anschließend automatisiert über die WhatsApp-Schnittstellen geprüft – mit einer Geschwindigkeit von etwa 7000 Anfragen pro Sekunde. Bemerkenswert: Weder IP-Adressen noch Testkonten wurden geblockt, effektive Abfrage-Limits fehlten weitgehend. So konnten Informationen zu über 100 Millionen Accounts pro Stunde gesammelt und letztlich mehr als 3,5 Milliarden registrierte Nummern bestätigt werden – deutlich mehr als die von Meta offiziell kommunizierten rund 2 Milliarden monatlich aktiven Nutzer.
Metadaten statt Nachrichteninhalt – aber trotzdem hochsensibel
Der Inhalt von Chats blieb geschützt: Die Ende-zu-Ende-Verschlüsselung wurde nicht angegriffen und blieb intakt. Abgegriffen wurden jedoch Metadaten der Accounts, die in der Praxis oft genauso wertvoll sind wie Inhalte. Laut Studie verfügten mehr als 57 % der identifizierten Accounts über ein Profilbild, und etwa zwei Drittel dieser Bilder zeigten ein klar erkennbares Gesicht. Solche Bilddaten lassen sich mit moderner Gesichtserkennung, Open-Source-Intelligence (OSINT) und sozialen Netzwerken leicht verknüpfen.
Rund 29 % der Nutzer hatten einen Textstatus hinterlegt. In vielen Fällen enthielten diese Statusmeldungen besonders schützenswerte Informationen – etwa Hinweise auf sexuelle Orientierung oder politische Einstellung, Links zu LinkedIn und Tinder, berufliche E-Mail-Adressen oder Angaben zum Arbeitgeber. Die Forschenden konnten darüber hinaus einzelne Telefonnummern eindeutig Behördenmitarbeitenden und Angehörigen militärischer Organisationen zuordnen. Für Spionage, zielgerichtete Phishing-Kampagnen oder politische Einflussnahme sind solche Datensätze äußerst attraktiv.
Besondere Gefahren in Staaten mit WhatsApp-Verbot
Brisant sind die Ergebnisse vor allem für Länder, in denen WhatsApp offiziell blockiert oder verboten ist – darunter China, Myanmar und Nordkorea. Trotz dieser Restriktionen identifizierte die Studie Millionen aktiver Accounts mit Telefonnummern aus diesen Regionen. Für Bürgerinnen und Bürger kann bereits der Nachweis, WhatsApp über VPN oder Proxies zu nutzen, rechtliche Konsequenzen bis hin zur Inhaftierung haben.
Wird eine solche Datenbank nach Ländern, Branchen oder gar Funktionen (z. B. Regierungsmitarbeitende) segmentiert, entsteht ein mächtiges Überwachungsinstrument. Staaten, Geheimdienste oder andere Akteure könnten damit nicht nur Nutzerlisten in verbotenen Regionen erstellen, sondern auch gezielte Überwachung, Einschüchterung oder Informationsoperationen vorbereiten.
Von Metadaten zu Angriffen: Wie Kriminelle solche Daten nutzen
Für Cyberkriminelle sind validierte WhatsApp-Nummern kombiniert mit Metadaten ein idealer Ausgangspunkt. Sie ermöglichen großflächige Spam- und Phishing-Kampagnen (Smishing), automatisierte Anrufe (Robocalls), aber auch hochgradig personalisierte Social-Engineering-Angriffe. Werden die Daten mit Informationen aus sozialen Netzwerken oder beruflichen Profilen angereichert, lassen sich detaillierte Dossiers erstellen – von zielgerichtetem Betrug gegen Unternehmen (etwa CEO-Fraud) bis zu politischem Micro-Targeting.
Reaktion von Meta: Verstaerkte Anti-Scraping-Massnahmen
Die Schwachstelle wurde über das Bug-Bounty-Programm an Meta gemeldet. Nach Angaben der Forschenden reagierte das Unternehmen jedoch erst umfassend, als ein wissenschaftlicher Preprint vorlag und die Veröffentlichung der Ergebnisse angekündigt wurde – also etwa ein Jahr nach der ersten Meldung. Der Vice President Engineering von WhatsApp, Nitin Gupta, dankte dem Team später für die „verantwortungsvolle Zusammenarbeit“ und erklärte, die Erkenntnisse seien als Stresstest für neue Anti-Scraping-Systeme genutzt worden.
Nach Implementierung dieser Gegenmaßnahmen funktionierten die in der Studie beschriebenen Techniken nicht mehr: Konten werden nun bei massenhafter Enumeration deutlich schneller blockiert, und Anti-Bot-Mechanismen greifen strenger. Die Forschenden gaben an, alle gesammelten Daten gelöscht zu haben. Meta betonte zudem, es gebe keine Hinweise darauf, dass dieser Angriffsvektor bislang im großen Stil von realen Angreifern genutzt worden sei. Gleichzeitig macht der Vorfall deutlich, dass die größte Schwachstelle vieler Messenger nicht die Verschlüsselung, sondern die offenen Schnittstellen und Komfortfunktionen sind.
Was Nutzer und Anbieter aus dem WhatsApp-Datenleck lernen sollten
Praktische Empfehlungen fuer WhatsApp-Nutzer
Nutzer sollten die Sichtbarkeit ihrer Metadaten konsequent einschränken. Empfehlenswert ist, Profilbild, „Info“-Text, Status und „Zuletzt online“ auf „Meine Kontakte“ oder „Niemand“ zu setzen und im Status keine sensiblen Informationen wie politische Ansichten, intime Details oder berufliche Kontaktdaten zu veröffentlichen. Wo möglich, sollten private und berufliche Kommunikation über getrennte Telefonnummern erfolgen.
Implikationen fuer Plattformbetreiber und Regulierer
Für Betreiber von Messengern und sozialen Netzwerken unterstreicht der Fall die Notwendigkeit von Privacy by Design: striktes Rate-Limiting, intelligente Anomalieerkennung, wirksame Bot-Abwehr und eine klare Minimierung der standardmäßig öffentlich sichtbaren Daten. Regulatorisch passen solche Vorfälle in die Logik der DSGVO, die Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen verlangt. Funktionen wie die Suche per Telefonnummer müssen in Bedrohungsmodellen ausdrücklich als potenzielle Quelle für Massen-Scraping berücksichtigt werden.
Der Vorfall zeigt, dass es keiner spektakulären Kryptographie-Attacke bedarf, um Privatsphäre massiv zu untergraben. Schon das automatisierte Ausnutzen frei zugänglicher Funktionen kann Milliarden von Datensätzen preisgeben. Wer WhatsApp und andere Messenger nutzt, sollte seine Privatsphäre-Einstellungen regelmäßig überprüfen und sparsam mit Profilinformationen umgehen. Unternehmen und Behörden sind gut beraten, Telefonnummern als hochsensible Identifikatoren zu behandeln, Sicherheitsrichtlinien entsprechend anz
