close notice<\/p>\n
\n This article is also available in It was translated with technical assistance and editorially reviewed before publication.\n <\/p>\n \n Don\u2019t show this again.\n<\/p>\n Das gesamte Mitgliederverzeichnis von WhatsApp stand online ungesch\u00fctzt zum Abruf bereit. \u00d6sterreichische Forscher konnten sich deshalb alle Telefonnummern und weitere Profildaten \u2013 darunter \u00f6ffentliche Schl\u00fcssel \u2013 herunterladen, ohne auf ein Hindernis zu sto\u00dfen. Sie fanden mehr als 3,5 Milliarden Konten. Gemessen an der Zahl Betroffener ist es der wohl gr\u00f6\u00dfte Datenabfluss aller Zeiten. Ein Teil der Forschungsgruppe hat sich bereits mehrfach mit WhatsApp befasst und beispielsweise eruiert, was WhatsApp trotz Verschl\u00fcsselung verr\u00e4t<\/a>, und herausgefunden, wie ein Angreifer die Whatsapp-Verschl\u00fcsselung herabstufen<\/a> kann. Dennoch stellte sich Whatsapp-Betreiber Meta Platforms hinsichtlich der neuen Forschungsergebnisse ein Jahr lang taub.<\/p>\n Weiterlesen nach der Anzeige<\/p>\n Wiederholte Warnhinweise, die die Gruppe der Universit\u00e4t Wien und der \u00f6sterreichischen SBA Research ab September 2024 bei Whatsapp eingereicht haben, wurden zwar mit Empfangsbest\u00e4tigungen bedacht, bald aber zu den Akten gelegt. Erst als die Forscher zweimal einen Entwurf ihres Papers einreichten und dessen unkoordinierte Ver\u00f6ffentlichung bevorstand, wachte Meta auf: Aus den Daten l\u00e4sst sich n\u00e4mlich erstaunlich viel ablesen, und f\u00fcr manche User kann das lebensbedrohlich sein.<\/p>\n Da sind einmal Informationen, die f\u00fcr Meta Platforms selbst sensibel sind, aus wettbewerblichen und regulatorischen Gr\u00fcnden: Wie viele Whatsapp-User gibt es in welchem Land, wie verteilen sie sich auf Android und iOS, wie viele sind Gesch\u00e4ftskonten, wie gro\u00df ist der Churn (Kundenabwanderung), und wo gibt es offensichtliche Betrugszentren gro\u00dfen Ma\u00dfstabs. Und dann sind da mehrere Klassen von Daten, die f\u00fcr Anwender ungem\u00fctlich bis lebensgef\u00e4hrlich sein k\u00f6nnen \u2013 obwohl die Forscher keine Datenpakete an oder von Endger\u00e4ten \u00fcbertragen haben (sondern nur zu Whatsapp-Servern) und auch keine Inhalte oder Metadaten von Whatsapp-Kommunikation abgefangen haben.<\/p>\n Update<\/p>\n 18.11.2025,<\/p>\n 16:36<\/p>\n Uhr<\/p>\n Meta spricht bei dem Vorgehen von Scraping und sagt, dass die im Rahmen der Studie gesammelten Daten sicher gel\u00f6scht worden sind. Es habe zudem keine Hinweise darauf gegeben, dass sie von b\u00f6swilligen Akteuren missbraucht wurden. Au\u00dferdem m\u00f6chte Meta betonen, dass es nicht um die Inhalte von Nachrichten geht \u2013 diese sind standardm\u00e4\u00dfig Ende-zu-Ende-verschl\u00fcsselt.<\/p>\n „Wir sind den Forschern der Universit\u00e4t Wien f\u00fcr ihre verantwortungsvolle Partnerschaft und ihren Flei\u00df im Rahmen unseres Bug-Bounty-Programms dankbar. Durch diese Zusammenarbeit konnte eine neuartige Aufz\u00e4hlungstechnik identifiziert werden, die unsere vorgesehenen Grenzen \u00fcberschritt und es den Forschern erm\u00f6glichte, grundlegende \u00f6ffentlich zug\u00e4ngliche Informationen zu scrapen. Wir hatten bereits an branchenf\u00fchrenden Anti-Scraping-Systemen gearbeitet, und diese Studie war entscheidend f\u00fcr die Belastungspr\u00fcfung und die Best\u00e4tigung der unmittelbaren Wirksamkeit dieser neuen Abwehrma\u00dfnahmen.“<\/p>\n WhatsApp-Verbot unwirksam<\/p>\n So war WhatsApp Stand Dezember 2024 in der Volksrepublik China, im Iran, in Myanmar sowie in Nordkorea verboten. Dennoch fanden die Forscher damals 2,3 Millionen aktive WhatsApp-Konten in China, 60 Millionen im Iran, 1,6 Millionen in Myanmar und f\u00fcnf (5) in Nordkorea. Diese Handvoll k\u00f6nnte vom Staatsapparat selbst eingerichtet worden sein, aber f\u00fcr Einwohner Chinas und Myanmars ist es h\u00f6chst riskant, wenn Beh\u00f6rden von der illegalen WhatsApp-Nutzung Wind bekommen. Und das passiert leicht, wenn sich der gesamte Nummernraum flott abfragen l\u00e4sst.<\/p>\n Die 60 Millionen WhatsApp-Konten mit iranischer Telefonnummer entsprachen statistisch immerhin zwei Drittel der Einwohner. Das Verbot wirkte dort also offensichtlich nicht und wurde am Heiligen Abend 2024 auch aufgehoben. Drei Monate sp\u00e4ter gab es dann schon 67 Millionen iranische Konten. Deutlich st\u00e4rker hat die Zahl jener zugenommen, die dasselbe WhatsApp-Konto auf mehr als einem Ger\u00e4t nutzen. W\u00e4hrend der Verbotsphase war das offenbar zu riskant, aber wenn WhatsApp nicht illegal ist, will man es vielleicht auch am Arbeitsrechner verwenden.<\/p>\n Weiterlesen nach der Anzeige<\/p>\n Profilbilder und Info-Feld<\/p>\n Ann\u00e4hernd 30 Prozent der User haben etwas in das „Info“-Feld ihres Profils eingetragen, und dabei geben manche viel preis: politische Einstellungen, sexuelle oder religi\u00f6se Orientierung, Bekenntnisse zu Drogenmissbrauch gibt es dort genauso wie Drogendealer, die genau in diesem Feld ihr Warensortiment anpreisen. Auch dar\u00fcber hinaus fanden die Wiener Forscher Angaben zum Arbeitsplatz des Users bis zu Hyperlinks auf Profile in sozialen Netzwerken, bei Tinder oder OnlyFans. E-Mail-Adressen durften nat\u00fcrlich nicht fehlen, darunter von Domains wie bund.de, state.gov und diverse aus der .mil-Zone. Das ist ein gefundenes Fressen f\u00fcr Doxxer und andere Angreifer, aber auch Spammer und einfache Betr\u00fcger.<\/p>\n Zudem verriet WhatsApp den Zeitpunkt der j\u00fcngsten \u00c4nderung \u2013 nicht nur des Info-Feldes, sondern auch der Profilfotos, die immerhin 57 Prozent aller WhatsApp-User weltweit hochgeladen und als f\u00fcr jedermann einsehbar definiert haben, darunter US-Regierungsmitglieder. F\u00fcr den Nordamerika-Vorwahlbereich +1 haben die Forscher alle 77 Millionen f\u00fcr jedermann einsehbaren Profilbilder heruntergeladen \u2013 stolze 3,8 Terabyte in Summe. In einer daraus gezogenen zuf\u00e4lligen Stichprobe von einer halben Million Bildern fand eine Gesichtserkennungsroutine in zwei Dritteln der F\u00e4lle ein menschliches Gesicht. Die leichte Zug\u00e4nglichkeit der Fotos h\u00e4tte also erlaubt, eine Datenbank zusammenzustellen, die durch Gesichtserkennung in vielen F\u00e4llen zur Telefonnummer f\u00fchrt und umgekehrt. Selbst Profilbilder ohne Gesicht k\u00f6nnen geschw\u00e4tzig sein: bisweilen sind Autokennzeichen, Stra\u00dfenschilder oder Wahrzeichen abgebildet.<\/p>\n Weitere Informationen liefert die Anzeige, wie viele Ger\u00e4te unter einem WhatsApp-Konto registriert sind (bis zu f\u00fcnf). Aus den fortlaufend vergebenen IDs l\u00e4sst sich schlie\u00dfen, ob diese zus\u00e4tzlich genutzten Ger\u00e4te h\u00e4ufig ge\u00e4ndert werden oder stabil bleiben.<\/p>\n \n Dieser Link ist leider nicht mehr g\u00fcltig.\n <\/p>\n Links zu verschenkten Artikeln werden ung\u00fcltig, Sie ben\u00f6tigen ein heise+ Paket, um diesen Artikel zu lesen. Jetzt eine Woche unverbindlich testen \u2013 ohne Verpflichtung!<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"close notice This article is also available in English. It was translated with technical assistance and editorially reviewed…\n","protected":false},"author":2,"featured_media":584854,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[134],"tags":[175,170,169,1743,29,597,30,196,171,174,13924,1273,1687,94962,173,172,672],"class_list":{"0":"post-584853","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-unternehmen-maerkte","8":"tag-business","9":"tag-companies","10":"tag-companies-markets","11":"tag-datenschutz","12":"tag-deutschland","13":"tag-forschung","14":"tag-germany","15":"tag-it","16":"tag-markets","17":"tag-maerkte","18":"tag-meta-platforms","19":"tag-mobiles","20":"tag-security","21":"tag-universitaet-wien","22":"tag-unternehmen","23":"tag-unternehmen-maerkte","24":"tag-whatsapp"},"share_on_mastodon":{"url":"https:\/\/pubeurope.com\/@de\/115571542132282079","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts\/584853","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/comments?post=584853"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts\/584853\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/media\/584854"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/media?parent=584853"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/categories?post=584853"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/tags?post=584853"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\n English<\/a>.<\/p>\n
\n wenn diese \u00e4lter als 7\u00a0Tage sind oder zu oft aufgerufen wurden.\n <\/p>\n