WhatsApp Schwachstelle blieb acht Jahre lang ungeschützt Apfelpatient

WhatsApp gehört zu den meistgenutzten Messengern der Welt. Die einfache Verbindung über Telefonnummern macht den Dienst für Milliarden Menschen attraktiv. Genau diese Funktion hat jedoch eine schwerwiegende Schwachstelle offengelegt. Eine Lücke, die Meta schon 2017 kannte und die trotzdem erst acht Jahre später behoben wurde. Der Fall zeigt, wie leicht zentrale personenbezogene Daten unbeabsichtigt öffentlich werden können.

Eine Sicherheitslücke bei WhatsApp hat insgesamt 3,5 Milliarden Telefonnummern offengelegt. Forscher aus Österreich fanden heraus, dass sich die Identität fast aller WhatsApp Nutzenden über einen einfachen technischen Trick ermitteln ließ. Das Problem bestand darin, dass WhatsApp keinerlei Begrenzung für Abfragen einzelner Telefonnummern vorgesehen hatte. Dadurch konnten theoretisch alle existierenden Nummern systematisch durchgetestet werden. Der Vorfall wäre laut den beteiligten Forschern die größte Datenpanne der Geschichte geworden, wenn der Exploit in die falschen Hände geraten wäre (via Wired).

Wie die WhatsApp Schwachstelle funktionierte

Der Mechanismus hinter WhatsApp ist simpel. Eine Telefonnummer wird im Adressbuch gespeichert und die App prüft automatisch, ob diese Nummer einen Account besitzt. Oft erscheinen dabei Profilbild, Name oder andere identifizierbare Informationen. Dieser Komfort wurde zur Grundlage für die Schwachstelle.

Die Forscher beschrieben ihren Ansatz als einfachen Exploit. Sie testeten im großen Stil Telefonnummern durch. Da WhatsApp zu diesem Zeitpunkt keine Begrenzung der Anzahl an Anfragen hatte, ließ sich jede denkbare Nummer abfragen. Jede erfolgreiche Rückmeldung lieferte nicht nur die Bestätigung, dass ein WhatsApp Konto existiert, sondern in vielen Fällen auch ein Profilfoto oder ein Profiltext.

Die ersten 30 Millionen US Telefonnummern wurden innerhalb von nur einer halben Stunde gesammelt. Danach wurde der Vorgang weitergeführt, bis am Ende rund 3,5 Milliarden Datensätze vorlagen. Die beteiligten Wissenschaftler ordneten diese Menge als die umfangreichste jemals dokumentierte Offenlegung von Telefonnummern und dazugehörigen Daten ein.

Meta wurde bereits 2017 auf das Problem hingewiesen

Besonders kritisch an diesem Fall ist die Tatsache, dass die Lücke schon 2017 von einem unabhängigen Sicherheitsforscher gemeldet worden war. Der Hinweis war klar. WhatsApp hätte lediglich eine Rate Limit Funktion einbauen müssen, um massenhafte automatisierte Anfragen zu verhindern. Diese Schutzmaßnahme gilt in der Branche als grundlegender Standard.

Acht Jahre später fanden die österreichischen Forscher exakt dieselbe Schwachstelle vor. Sie nutzten denselben Ansatz und sammelten Daten in einem Ausmaß, das weit über das hinausgeht, was gewöhnlich als Datenleck bezeichnet wird. Das lässt erkennen, wie niedrig die Priorität für diese Sicherheitslücke intern gewesen sein muss.

Reaktion der Forscher und von Meta

Die Forscher der Universität Wien handelten verantwortungsbewusst. Sie löschten die Daten nach dem Test und informierten Meta. Danach dauerte es etwa sechs Monate, bis WhatsApp eine Begrenzung der Datenübertragungsraten implementierte. Erst dadurch wurde verhindert, dass dieselbe Methode weiter in großem Umfang genutzt werden konnte.

WhatsApp erklärte, dass intern bereits an einer Lösung gearbeitet worden sei. Zudem gebe es keine Hinweise darauf, dass der Exploit jemals von böswilligen Akteuren verwendet wurde. Ob das tatsächlich zutrifft, lässt sich schwer überprüfen, da ein solcher Angriff kaum Spuren erzeugt.

Warum dieser Vorfall wichtig ist

Der Fall zeigt, wie anfällig selbst bekannte Plattformen für einfache, aber wirkungsvolle Angriffe sein können. Telefonnummern sind sensible Daten. Sie dienen als Kontaktinformation und häufig auch als Sicherheitsmerkmal für Login Prozesse. Wenn ein Dienst wie WhatsApp Telefonnummern ohne Schutzmechanismen preisgibt, entstehen Risiken für Identitätsbetrug, gezielte Angriffe, Social Engineering und andere Formen des Missbrauchs.

Der Vorfall macht deutlich, wie kritisch es ist, grundlegende Sicherheitsregeln konsequent umzusetzen. Er zeigt außerdem, dass Nutzerinnen und Nutzer oft kaum nachvollziehen können, welche Daten im Hintergrund abgerufen werden können und wie leicht diese Daten unter bestimmten Umständen abgegriffen werden.

Was die Lücke über WhatsApp und Meta verrät

Die entdeckte WhatsApp Sicherheitslücke stellt einen der gravierendsten bekannten Fälle potenzieller Datenoffenlegung dar. Der Exploit war einfach, die Auswirkungen wären enorm gewesen und die Gefahr bestand über viele Jahre hinweg. Die Forscher verhinderten Schlimmeres, doch der Fall spricht für eine notwendige stärkere Sensibilisierung bei Meta, wenn es um den Schutz zentraler Nutzerdaten geht. Die schnelle Reaktion nach dem Hinweis war wichtig, doch sie kam Jahre zu spät. Der Vorfall erinnert daran, wie entscheidend es ist, dass globale Kommunikationsdienste proaktiv und sorgfältig mit Sicherheitsrisiken umgehen. (Bild: Shutterstock / SmartPhotoLab)