Forscher der Universität Wien haben eines der größten Datenlecks aller Zeiten aufgedeckt. Eine Sicherheitslücke bei WhatsApp ermöglichte es ihnen, Profilinformationen von 3,5 Milliarden Accounts und damit nahezu allen Nutzern abzugreifen. Eine kommentierende Analyse.
Unser exklusives Format »Break the News«, in dem wir aktuelle Nachrichten in ihre Einzelteile zerlegen, erscheint immer zuerst in UPDATE, unserem täglichen Tech-Briefing. Hier kannst du dich über 10.000 anderen Lesern anschließen und dich kostenlos anmelden:
Mit deiner Anmeldung bestätigst du unsere Datenschutzerklärung
WhatsApp-Datenleck: Milliarden Nutzer betroffen
- Um andere WhatsApp-Nutzer zu finden, kann der Messenger über den Contact Discovery-Modus auf Telefon-Kontakte zugreifen. Die Forscher zeigten, wie dieser Mechanismus missbraucht werden konnte, um mehr als 100 Millionen Telefonnummern pro Stunde abzufragen, wodurch sie Profilinformationen zu mehr als 3,5 Milliarden Konten in 245 Ländern erhielten.
- Laut Studie waren keine konkreten Nachrichteninhalte betroffen. Heißt konkret: Die Ende-zu-Ende-Verschlüsselung hat funktioniert. Allerdings konnten die Forscher Telefonnummern, öffentliche Profilbilder sowie Profiltexte und Zeitstempel abrufen. Alle abgerufenen Daten wurden vor der Veröffentlichung der Analyse gelöscht. WhatsApp hat die Sicherheitslücke geschlossen.
- Problematisch sei den Forschern zufolge, dass rund 30 Prozent der Nutzer persönliche Informationen von sich preisgegeben hätten. Aus diesen Daten konnten sie Rückschlüsse zu Religionszugehörigkeiten, sexuellen Orientierungen oder politischen Einstellungen ableiten.
Einordnung
WhatsApp beteuert, dass es keine Hinweise darauf gebe, dass böswillige Akteure die Sicherheitslücke ausgenutzt hätten. Das lässt sich bislang aber kaum unabhängig bestätigen. Nutzer sollten zwar nicht in Panik verfallen, aber gegebenenfalls überdenken, welche und wie viele Informationen sie von sich preisgeben.
Im Worst Case droht kein unmittelbarer Schaden. Da WhatsApp den Forschern zufolge aber erst nach wiederholten Warnhinweisen und Monate später reagiert hat, könnten theoretisch Daten abgeflossen sein.
Angreifer hätten etwa die Möglichkeit, diese für gezielte Angriffe wie betrügerische SMS oder Spam-Anrufe zu missbrauchen. Besonders pikant: Die Forscher konnten Rückschlüsse zu Nutzern aus Ländern ableiten, in denen WhatsApp verboten ist oder staatlich überwacht wird.
Autoritären Staaten könnten die Nutzung des Dienstes dadurch nachverfolgen. Für Oppositionelle, Journalisten oder Aktivisten kann das lebensbedrohlich sein.
Stimmen
- Hauptstudienautor Gabriel Gegenhuber von der Universität Wien: „Üblicherweise sollten nicht so viele Anfragen in so kurzer Zeit und von einer Quelle bzw. von einem Server beantwortet werden. Darin lag die Sicherheitslücke, denn wir konnten quasi unbegrenzte Anfragen an den Server stellen und so schließlich eine weltweite Erhebung machen“.
- Co-Autor Aljosha Judmayer ergänzte: „Die Ende-zu-Ende-Verschlüsselung schützt den Inhalt von Nachrichten, aber nicht unbedingt die damit verbundenen Metadaten“, erklärt der Letztautor Aljosha Judmayer von der Universität Wien. „Unsere Arbeit zeigt, dass Datenschutzrisiken auch entstehen können, wenn solche Metadaten in großem Umfang gesammelt und analysiert werden.“
- Nitin Gupta, VP of Engineering bei WhatsApp, in einer Stellungnahme: „Wir sind den Forschern dankbar. Durch die Zusammenarbeit konnte eine neuartige Aufzählungstechnik identifiziert werden, die unsere Grenzen überschritt. Wichtig ist, dass die Forscher die gesammelten Daten sicher gelöscht haben und wir keine Hinweise darauf gefunden haben, dass böswillige Akteure diesen missbraucht haben.“
Es braucht unabhängige Datenschützern
Das Datenleck offenbart, wie unbedarft viele Nutzer mit Informationen im Netz umgehen. Das Vertrauen in Messenger und digitale Medien scheint nach wie vor hoch zu sein. Dabei sind bereits die Datenpraktiken vieler Unternehmen nicht unbedenklich, da umfassende Nutzerprofile entstehen.
Auch wenn die Lücke mittlerweile geschlossen ist und selbst wenn keine Informationen abgefischt wurden, zeigt der Fall, wie wichtig die Arbeit von unabhängigen Datenschützern ist und dass Unternehmen gut daran tun, mit diesen zusammenzuarbeiten.
Aufgrund der Größe des Datenlecks ist davon auszugehen, dass Regulierungsbehörden prüfen werden, ob Meta gegen Datenschutzregeln verstoßen hat. Da das Unternehmen nicht sofort reagiert hat, könnten auch juristische Konsequenzen und Klagen folgen.
Um sich zu schützen, sollten Nutzer die Zwei-Faktor-Authentifizierung (2FA) aktivieren, einen Passkey erstellen und ihre Privatsphäre-Einstellungen anpassen. Bei Nachrichten von unbekannten Nummern sollte man immer Vorsicht walten lassen und nicht auf Links oder Dateien klicken.
Unser exklusives Format »Break the News«, in dem wir aktuelle Nachrichten in ihre Einzelteile zerlegen, erscheint immer zuerst in UPDATE, unserem täglichen Tech-Briefing. Hier kannst du dich über 10.000 anderen Lesern anschließen und dich kostenlos anmelden:
Mit deiner Anmeldung bestätigst du unsere Datenschutzerklärung
Auch interessant:
