Forschern gelang es, von 3,5 Mrd. WhatsApp-Nutzern die Mobilnummern und Profile abgreifen. – Bild: HeikoAL/pixabay.com

Demokratie & Recht

Der größte Datenverstoß in der Geschichte

29. Dezember 2025

WhatsApp, für viele der wichtigste Messenger überhaupt, wird von über 3,5 Mrd. Menschen genutzt. Doch kaum jemand wusste, dass sämtliche Accounts bis vor Kurzem praktisch ungeschützt abrufbar waren. Nicht gehackt, nicht geknackt – sondern offen zugänglich für jeden, der es darauf anlegte.

von Thomas Löb

 

Forscher der Universität Wien und des österreichischen Unternehmens SBA Research haben erfolgreich auf alle bestehenden WhatsApp-Accounts zugegriffen. Sie waren in der Lage, 3,5 Mrd. Nutzer-Profile zu sehen und zu analysieren: Telefonnummern, Profilbilder, Zeitstempel, Infofelder, öffentliche Schlüssel – ein globaler Datensatz historischen Ausmaßes. Und Meta? Schwieg. Ein ganzes Jahr.

Der Ursprung des Problems lag im Kern der App: in der Contact-Discovery-Funktion, die prüft, ob eine Telefonnummer WhatsApp nutzt. Eigentlich harmlos – doch ohne strikte Abfragebegrenzung und ohne wirksames Monitoring wird dieses System zum idealen Werkzeug für Massenabfragen. Genau das nutzten die Forscher aus: Sie konnten über 100 Mio. Nummern pro Stunde abfragen, völlig legal, ohne IP-Verschleierung, denn sie nutzten die rechtmäßige Open-Source-Implementierung WhatsMeow.

 

Telefonnummern, Gesichter, Aktivitätsmuster

Zwischen Ende 2024 und Anfang 2025 durchsuchte das Team 63 Mrd. mögliche Telefonnummern. Ergebnis: 3.546.479.731 bestätigte WhatsApp-Konten aus 245 Ländern und Territorien. Dazu öffentliche Schlüssel, Profiländerungszeitstempel, Informationen über Gerätetypen, die Zahl verbundener Geräte – und Millionen Profilbilder. Allein in Nordamerika luden sie 77 Mio. öffentlich sichtbare Fotos herunter, insgesamt 3,8 Terabyte. In zwei Dritteln davon war ein Gesicht erkennbar. Die Grundlage für globale Telefonnummer-Gesicht-Datenbanken war damit geschaffen.

Die Daten legten darüber hinaus offen, wie viele Menschen WhatsApp trotz staatlicher Verbote nutzen: 2,3 Mio. in China, 60 Mio. im Iran, 1,6 Mio. in Myanmar, 5 in Nordkorea. In solchen Ländern ist die bloße Existenz eines Accounts potenziell lebensgefährlich.

Auch intime Details traten zutage: politische Positionen, sexuelle Orientierung, religiöse Zugehörigkeit. Viele Infofelder enthielten E-Mail-Adressen, darunter Regierungs- und Militärdomains. Manche warben offen mit Drogengeschäften. Und in Millionen Fällen tauchten identische öffentliche Schlüssel auf mehreren Geräten auf – ein starkes Indiz für organisierte Betrugszentren, insbesondere in Myanmar und Nigeria.

Ein weiteres Problem: Nutzer, die aus Sicherheitsgründen ihre Telefonnummer wechselten, erhielten nicht immer einen neuen Profilschlüssel. Für Personen, die vor Stalkern, Ex-Partnern, organisierter Kriminalität oder staatlichen Behörden fliehen, ist das ein gravierendes Risiko. Die Empfehlung der Forscher: Nicht nur die Nummer wechseln, sondern das alte Konto vollständig löschen!

Die gute Nachricht: Die Ende-zu-Ende-Verschlüsselung hielt. Die Chat-Inhalte selbst blieben geschützt. Die schlechte: Metadaten sind oft genauso wertvoll wie Nachrichten. Gesicht, Telefonnummer, Aktivitätsmuster – genug für Doxing, staatliche Überwachung, Betrug, Spam und umfassendes Profiling.

 

Meta reagiert auf Datenleck nur sehr langsam

Meta bezeichnet die massenhafte Datenerhebung als bloßes „Scraping“. Doch die Risiken sind real. Und Metas Reaktion? Zunächst gar keine. Erst kurz vor Veröffentlichung der Studie begann das Unternehmen zu handeln: Die Abfragerate wurde begrenzt, Machine-Learning-Erkennung ergänzt, Zeitstempel bei Profilbildern entfernt, die Vergabe öffentlicher Schlüssel verbessert und ein lebenslanges Limit für Abfragen eingeführt.

Doch zentrale Probleme bleiben bestehen. Die Forscher empfehlen, Profilbilder und Infofelder zu verschlüsseln – so, wie es Signal seit Jahren vormacht. WhatsApp schützt eure Chats, aber nicht euer öffentlich sichtbares Profil.

Für Nutzer bedeutet das: Überlegt genau, welche Informationen ihr in Profilbild und Infofeld preisgebt! Wenn ihr aus Sicherheitsgründen die Nummer wechselt: Löscht das alte Konto vollständig! Rechnet zudem mit mehr Spam- und Betrugsversuchen!

Der Vorfall zeigt vor allem eines: Sicherheit ist kein Zustand, sondern ein Prozess. Die Wiener Forscher haben offengelegt, wie trügerisch das Vertrauen in große Plattformen sein kann – und wie dringend echte Transparenz und kontinuierliche Überprüfung nötig sind.

Bleibt die Frage: Bleibt Ihr nach diesem Datenleck bei WhatsApp? Oder ist es Zeit für Alternativen?

 

Onlinetipps

Georg Pichler
Österreichische Forscher konnten Daten zu 3,5 Milliarden WhatsApp-Accounts abfragen
Standard, 19.11.2025
www.t1p.de/sm6oy

Nadja Podbregar
Große Sicherheitslücke in WhatsApp aufgedeckt
Scinexx.de, 19.11.2025
www.t1p.de/r7egg

Daniel AJ Sokolov
3,5 Milliarden User: Gesamtes WhatsApp-Verzeichnis abgeschnorchelt
Heise, 18.11.2025
www.t1p.de/vvm6o

 

Jahrgang 1966, studierte Landschaftsarchitektur, erlernte den Beruf des Kongress- und Messeorganisators und ist aktuell in der Kultur- und Bildungsarbeit tätig. In die ÖDP trat er 2019 nach längerer Pause wieder ein, übte im Landesverband Brandenburg verschiedene Funktionen aus und ist seit 2024 dessen Schatzmeister.

ed.pd1766975190eo@be1766975190ol.sa1766975190moht1766975190  

Vielleicht interessiert Sie auch:

KI-Grundsatzurteil: GEMA gewinnt gegen OpenAI

27. Dezember 2025

Wie viel Regulierung braucht das Netz?

17. November 2025

Ein Katalysator für den Wandel

1. September 2025

Mehr ÖkologiePolitik

Archiv der Online-Beiträge

© 2025 Ökologisch-Demokratische Partei

Impressum  Datenschutz

WordPress Di Multipurpose Theme