Mega-Leak bei WhatsApp: Was der Zugriff auf 3,5 Milliarden Profile jetzt bedeutet

Forscherinnen und Forscher konnten bei WhatsApp eine Schwachstelle nachweisen, mit der sich weltweit rund 3,5 Milliarden Konten samt Telefonnummern, öffentlichen Schlüsseln, Profilbildern und öffentlichen Profilinfos automatisiert abrufen ließen.

Damit zeigt sich, wie fragil der Schutz der Privatsphäre bei einem Dienst sein kann, der trotz Verschlüsselung und Sicherheitsversprechen massenhaft Metadaten offengelegt hat.

Leak bei WhatsApp: Wie konnte das passieren?

Die Ursache liegt in der Mechanik hinter der Kontaktabfrage (Contact Discovery). WhatsApp erlaubt, Telefonnummern hochzuladen, um herauszufinden, ob Kontakte den Dienst nutzen. Forschende der SBA Research und der Universität Wien nutzten genau diese Funktion: Durch systematisches Hochladen riesiger Zahlenmengen konnten sie Hunderte Millionen Nummern pro Stunde prüfen und damit eine globale Bestandsaufnahme durchführen, ohne technische Hürden, ohne Authentifizierung und ohne ungewöhnliche Berechtigungen.

Offensichtlich setzte der Anbieter lange Zeit keine wirksamen Maßnahmen gegen solche Massendatenabfragen ein. Damit war eine globale Sammlung von Profildaten aller WhatsApp-Nutzerinnen und Nutzer möglich, ohne dass Inhalte der Chats jemals berührt wurden.

Welche Daten sind betroffen und warum ist das gefährlich?

Betroffen sind nicht nur Telefonnummern. Die gesicherten Daten umfassten:

• öffentlich sichtbare Profilbilder bei rund 57 Prozent der Nutzerkonten weltweit
• frei einsehbare Profil- „Info“-Texte bei etwa 29 Prozent der Konten
• öffentliche Verschlüsselungsschlüssel
• technische Metadaten wie Betriebssystem, registrierte Geräte und Alter des Kontos

Diese Kombination aus Telefonnummer und weiteren öffentlichen oder halb-öffentlichen Informationen kann erheblich mehr Schaden anrichten als ein bloßes Telefonbuch. Sie bietet Angreifenden eine Grundlage für Phishing, Social Engineering, Doxxing oder gezielte Angriffe mit potenziell massiver Reichweite.

Auch wenn der Inhalt von Nachrichten weiterhin Ende-zu-Ende verschlüsselt bleibt, bedeutet das keineswegs, dass die Privatsphäre gesichert ist. Metadaten genügen vielfach, um Rückschlüsse auf Personen, Netzwerke oder soziale Beziehungen zu ziehen und dieses Wissen mit betrügerischen Absichten auszunutzen.

Wie reagierte der Anbieter?

Als die Forschenden ihre Ergebnisse veröffentlichten, erklärte der Betreiber Meta, dass das Vorgehen der Wissenschaftler ein Fall von „Scraping“ gewesen sei. Die betroffenen Daten sollen gelöscht worden sein und es gebe keine Hinweise auf missbräuchliche Nutzung durch Dritte. WhatsApp betont, dass Nachrichteninhalte zu keiner Zeit kompromittiert waren.

Aber: Das Problem lag weniger in der Verschlüsselung der Kommunikation, sondern in der Architektur des Systems. Telefonnummern als primäre Benutzeridentifikatoren plus weltweit offene Abfragefunktionen ohne wirksame Schutzmechanismen — das erwies sich als fatal.

Warum dieser Fall weit mehr ist als ein „Fehler“

Der WhatsApp-Leak offenbart, wie unsicher selbst Dienste sein können, die Verschlüsselung und Sicherheit proklamieren. Nutzerinnen und Nutzer könnten glauben, ihre Chats seien sicher — doch der Schutz der Metadaten bleibt oftmals unvollständig. Diese Lücke betrifft alle, die auf Telefonnummern als ID vertrauen.

Gerade für Menschen in unsicheren Regionen, für Aktivistinnen und Aktivisten oder Personen, deren Daten besonders sensibel sind, kann dieser Vorfall existenzielle Folgen haben. Ein Profilbild, eine Telefonnummer und eine öffentlich sichtbare Info reichen, um Rückschlüsse zu ziehen.

Die Dimension des Vorfalls — Milliarden betroffene Konten weltweit — macht deutlich, dass Datenschutz und Sicherheit bei Messengern keine Nebensache sind. Sie sind elementar für die Privatsphäre und die körperliche Unversehrtheit von Millionen Menschen.

Wenn Metadaten lautlos sprechen – was wir empfehlen

Wer WhatsApp nutzt, sollte prüfen, ob Profilbild und persönliche Infos für alle sichtbar sind. Es kann sinnvoll sein, Sichtbarkeitseinstellungen zu ändern oder alternative Dienste mit stärkerer Privatsphäre in Betracht zu ziehen.

Organisationen und Dienstleister sollten nicht davon ausgehen, dass Verschlüsselung allein ausreicht. Eine bewusste und datensparsame Nutzung von Messenger-Plattformen gehört heute zur digitalen Hygiene, gerade wenn sensible Kommunikation oder gefährdete Personen betroffen sind.

Die aktuelle Forschung zeigt deutlich: Der Schutz von Inhalten reicht nicht. Datenschutz betrifft immer auch Metadaten, Struktur und Architektur.