WIEN, ÖSTERREICH – Wiener IT-Sicherheitsforscher haben das komplette öffentlich zugängliche Mitgliederverzeichnis von WhatsApp abgefragt und Daten zu rund 3,5 Milliarden Profilen ausgelesen – nach eigenen Angaben der wohl größte bekannte Datenabfluss nach Zahl der Betroffenen.
Die Gruppe von der Universität Wien und SBA Research konnte Telefonnummern, Profilangaben und öffentliche Schlüssel automatisiert von WhatsApp-Servern herunterladen. Ein technisches Hindernis sei dabei nicht aufgetreten, der Zugriff erfolgte ohne Umgehung von Verschlüsselung und ohne Mitschnitt von Nachrichteninhalten oder Kommunikationsmetadaten.
Forschungsergebnisse zunächst ignoriert
Die Forschenden hatten ab September 2024 wiederholt Warnhinweise an WhatsApp und den Mutterkonzern Meta Platforms gemeldet. Die Hinweise wurden zwar bestätigt, landeten nach Darstellung der Gruppe aber rasch in der Ablage. Meta reagierte demnach erst, als ein wissenschaftliches Paper kurz vor der Veröffentlichung stand.
Ähnliche Beiträge:
Meta sprach von „Scraping“ öffentlich zugänglicher Informationen und erklärte, die im Rahmen der Studie erhobenen Daten seien sicher gelöscht worden. Außerdem lägen keine Hinweise auf böswillige Nutzung durch andere Akteure vor. Meta betonte erneut, dass Inhalte von Nachrichten Ende-zu-Ende-verschlüsselt seien und von dem Vorfall nicht betroffen waren.
Meta verweist auf Anti-Scraping-Maßnahmen
In einer Stellungnahme erklärte Meta, man schätze die Zusammenarbeit mit den Wiener Forschenden im Rahmen des Bug-Bounty-Programms. „Wir sind den Forschern der Universität Wien für ihre verantwortungsvolle Partnerschaft und ihren Fleiß im Rahmen unseres Bug-Bounty-Programms dankbar“, hieß es.
Weiter teilte das Unternehmen mit, durch die Studie sei eine „neuartige Aufzählungstechnik identifiziert“ worden, die bestehende Grenzen überschritten und das Scraping von grundlegenden öffentlich verfügbaren Informationen ermöglicht habe. Meta verwies auf bereits entwickelte, branchenführende Anti-Scraping-Systeme. „Diese Studie war entscheidend für die Belastungsprüfung und die Bestätigung der unmittelbaren Wirksamkeit dieser neuen Abwehrmaßnahmen“, so der Konzern.
Milliardenprofile und sensible Nutzerdaten
Die Forschenden stießen auf mehr als 3,5 Milliarden Konten im globalen WhatsApp-Verzeichnis. Aus Unternehmenssicht seien die Daten unter anderem deshalb brisant, weil sich damit detailliert analysieren ließ:
• wie viele WhatsApp-Nutzer pro Land aktiv waren
• wie sich die Nutzung auf Android und iOS verteilte
• wie viele Geschäftskonten existierten
• wie hoch der Churn, also die Kundenabwanderung, war
• wo sich offensichtliche Betrugszentren in großem Maßstab abzeichneten
Für Nutzerinnen und Nutzer identifizierten die Forscher mehrere Datenkategorien, die von unangenehm bis lebensgefährlich reichen können. Besonders heikel sei, dass die Abfrage des gesamten Nummernraums automatisiert möglich war und so Profilinformationen zu beliebigen Telefonnummern zugänglich wurden.
Illegale Nutzung in Ländern mit WhatsApp-Verbot
Zum Zeitpunkt der Messungen im Dezember 2024 war WhatsApp in der Volksrepublik China, im Iran, in Myanmar und in Nordkorea offiziell verboten. Trotzdem fanden die Wiener Expertinnen und Experten dort aktive Konten:
• 2,3 Millionen WhatsApp-Konten in China
• 60 Millionen Konten im Iran
• 1,6 Millionen Konten in Myanmar
• 5 Konten in Nordkorea
Die Handvoll nordkoreanischer Konten könnte nach Einschätzung der Forscher vom Staatsapparat selbst stammen. Für Einwohnerinnen und Einwohner Chinas und Myanmars sei es jedoch höchst riskant, wenn Behörden von einer illegalen WhatsApp-Nutzung erfahren. Die leichte, systematische Abfrage des gesamten Nummernraums erhöht dieses Risiko deutlich.
Im Iran entsprach die Zahl von 60 Millionen Konten statistisch etwa zwei Dritteln der Bevölkerung – das Verbot zeigte also kaum Wirkung. Am 24. Dezember 2024 wurde das Verbot aufgehoben. Drei Monate später registrierten die Forschenden bereits 67 Millionen iranische Konten. Besonders stark wuchs der Anteil der Nutzer, die ein WhatsApp-Konto auf mehreren Geräten parallel verwendeten – etwa zusätzlich am Arbeitsplatzrechner.
Profilinfos mit politischer und persönlicher Brisanz
Rund 30 Prozent der weltweiten WhatsApp-Nutzer hatten das „Info“-Feld ihres Profils ausgefüllt. Laut Studie finden sich dort Angaben, die für Betroffene äußerst unangenehme Folgen haben können: politische Einstellungen, sexuelle oder religiöse Orientierung sowie Hinweise auf Drogenmissbrauch.
Die Forschenden stießen auch auf Drogendealer, die in diesem Feld ihr Sortiment bewarben. Darüber hinaus fanden sich Angaben zu Arbeitsplätzen, Links zu Social-Media-Profilen und Plattformen wie Tinder oder OnlyFans. Auch E-Mail-Adressen waren häufig hinterlegt, darunter von Domains wie bund.de, state.gov und verschiedenen .mil-Adressen. Solche Datensätze gelten als attraktiv für Doxxing, gezielte Angriffe, Spam und Betrug.
Milliarden Profilbilder und Gesichtserkennung
Besonders umfangreich war auch der Zugriff auf Profilbilder: Laut Untersuchung hatten 57 Prozent aller WhatsApp-User ein Foto hochgeladen und als öffentlich sichtbar eingestellt. Darunter befanden sich auch Bilder von US-Regierungsmitgliedern.
Für den nordamerikanischen Vorwahlbereich +1 luden die Forschenden alle 77 Millionen öffentlich sichtbaren Profilbilder herunter – insgesamt 3,8 Terabyte Daten. In einer zufällig gezogenen Stichprobe von 500.000 Bildern erkannte eine Gesichtserkennungsroutine in rund zwei Dritteln der Fälle ein menschliches Gesicht.
Damit wäre es technisch möglich gewesen, eine Datenbank zu erstellen, die Gesichtserkennung mit Telefonnummern verknüpft – und umgekehrt die Suche nach Personen über ihre Handynummer zu erleichtern. Auch Profilbilder ohne Gesicht verrieten häufig Details, etwa Autokennzeichen, Straßenschilder oder markante Wahrzeichen.
Geräteanzahl als zusätzlicher Fingerabdruck
Zusätzliche Informationen lieferte die Anzeige, wie viele Geräte unter einem WhatsApp-Konto registriert waren. Pro Konto sind bis zu fünf Geräte möglich. Anhand der fortlaufend vergebenen Geräte-IDs konnten die Forschenden nachvollziehen, ob zusätzliche Geräte häufig gewechselt oder über längere Zeit stabil genutzt wurden.
Diese Muster können Rückschlüsse auf das Nutzungsverhalten einzelner Accounts zulassen – etwa, ob ein Konto regelmäßig neue Geräte erhält oder auf wenigen, konstanten Geräten betrieben wird. Zusammen mit Telefonnummer, Profilangaben und Bilddaten entsteht so ein dichtes digitales Profil vieler WhatsApp-Nutzer.
Meta betont Löschung – Forscher sehen strukturelles Problem
Meta versicherte, die von den Wiener Forschenden erhobenen Daten seien sicher gelöscht worden. Zudem gebe es keine Erkenntnisse, dass kriminelle Akteure denselben Weg bereits genutzt hätten. Gleichzeitig stellte der Konzern klar, es sei ausschließlich um öffentlich zugängliche Basisinformationen gegangen, nicht um private Chat-Inhalte.
Die Studie zeigt dennoch, wie umfangreich und systematisch öffentlich sichtbare WhatsApp-Daten abgegriffen und ausgewertet werden konnten. Gerade für Menschen in Ländern mit Verboten und für exponierte Berufsgruppen – etwa Regierungsmitglieder oder Angehörige des Militärs – entsteht damit ein erhebliches Risiko für Überwachung, Erpressung und gezielte Angriffe.