Ein Forschungsteam der Universität Wien hat zusammen mit SBA Research, dem österreichischen Forschungszentrum für Informations- und Cybersicherheit, eine gravierende Sicherheitslücke bei WhatsApp aufgedeckt. Durch diese Lücke wurden etwa 3,5 Milliarden WhatsApp-Konten identifiziert. Über das “Contact-Discovery”-Verfahren konnten die Forscher Telefonnummern, öffentliche Profilbilder und, falls öffentlich sichtbar, Status/“About”-Texte bzw. Profil-“Infos” abrufen. Die Schwachstelle beruhte darauf, dass WhatsApp offenbar keine wirksame Ratenbegrenzung hatte.  Dies bedeutet, die Forscher konnten viele Millionen Nummern pro Stunde automatisiert abfragen, ohne geblockt zu werden. Die Studie trägt den Titel „Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy“. Laut den Forschern war es technisch möglich, ein quasi komplettes Verzeichnis aller existierenden WhatsApp-Konten zu erstellen — unabhängig von einer Aktivität der Nutzer, solange die Nummer registriert war. Die Betreiberfirma (Meta Platforms) hat inzwischen reagiert und Gegenmaßnahmen ergriffen (z. B. Anti-Scraping, Rate-Limiting), nachdem die Forschungsergebnisse gemeldet wurden.

Die Studie und die begleitenden Berichte unterscheiden klar zwischen öffentlich zugänglichen Profilinformationen (Telefonnummer, Profilbild, Status usw.) und privaten Inhalten (Chats, Nachrichten). Nachrichten blieben laut Forschern und Meta weiterhin durch Ende-zu-Ende-Verschlüsselung geschützt.

Die Forscher haben keine geheimen oder intern “gestohlenen” Daten abgegriffen, sondern eine bestehende Funktion missbraucht und automatisiert. Es wurden “nur” öffentlich sichtbare Daten in großem Umfang gesammelt.

Jeder sollte sich deshalb immer sehr gut überlegen, welche Daten in den öffentlich zugänglichen Profilinformationen eingegeben werden. Telefonnummer und Profilbild reichen oft aus, um den Nutzer zu identifizieren oder zumindest seine Existenz mit hoher Wahrscheinlichkeit nachzuweisen. Hat man dann auch noch persönliche Interessen, Vorlieben oder den Aufenthaltsort im Status gepostet, kann ungewollt ein sehr persönliches Profil von Außenstehenden erstellt werden – so in der Studie bewiesen. Auch wenn diese konkrete Lücke durch die Betreiberfirma geschlossen wurde, sollte man mit seinen persönlichen Daten nicht zu freizügig sein…