Whatsapp | 3,5 Milliarden Nutzer betroffen: Hat Meta dies größte Datenleck aller Zeit vertuscht?

Forscher decken ein gigantisches Whatsapp-Leck auf: 3,5 Milliarden Profile waren abrufbar, völlig unbemerkt vom System. Monatelang ignorierte Meta die Warnungen – aus Versehen, aus Nachlässigkeit oder aus Kalkül? Chronologie eines Versagens

Wer Whatsapp installiert hat, kann einer Gruppe von Forschenden der Universität Wien dankbar sein. Sie haben eine Sicherheitslücke schließen können, die zur Gefahr für Milliarden von Menschen hätte werden können. Auf dem Spiel stand nicht weniger als die Privatsphäre jeder und jedes Einzelnen.

Die Forschenden hatten eine Sicherheitslücke in Whatsapp ausgenutzt, um die Nutzerprofile aller Whatsapp-User weltweit abzugreifen. Relativ unkompliziert konnten die IT-Sicherheitsexperten auf Daten wie Telefonnummern und Profilbilder von 3,5 Milliarden aktiven Konten zugreifen. Glücklicherweise handelten sie nicht aus böswilliger Absicht: Vor der Veröffentlichung ihrer Ergebnisse haben sie den Mutterkonzern Meta dabei unterstützt, die Sicherheitslücke zu schließen.

Zuvor hatten Mitglieder desselben Forschungsteams es schon einmal geschafft, Whatsapp sensible Daten mit großem Missbrauchspotenzial zu entlocken. Das Ausmaß ihrer neuesten Entdeckung, die sie am 18. November öffentlich gemacht haben, ist jedoch um einiges größer.

Gabriel Gegenhuber: „Was man mit den Daten alles machen könnte, ist ziemlich gruselig“

In ihrem Paper schreiben die Forschenden: „Wäre dieses Datenset nicht in verantwortungsvoll durchgeführter Forschung zusammengestellt worden, wäre es das größte Datenleck der Geschichte gewesen.“ Die Sicherheitslücke, die die Wiener offengelegt haben, liegt in einem Mechanismus, der „Contact Discovery“ heißt. Damit wird das Telefonbuch der User mit den Whatsapp-Servern synchronisiert, um festzustellen, welche Kontakte darin die App ebenfalls nutzen. Die Forschenden haben an den Servern viele Milliarden Telefonnummern, die theoretisch existieren könnten, abgefragt. Jedes Mal, wenn Contact Discovery zu einer Nummer einen Treffer meldete, wussten sie: Das ist ein aktiver Whatsapp-User. Auch das Profilbild konnten sie direkt sehen, wenn es öffentlich war.

Brisant daran ist, dass die Whatsapp-Server sie einfach haben gewähren lassen. „Normalerweise hat man ja nur begrenzt viele Kontakte“, sagt IT-Sicherheitsforscher Gabriel Gegenhuber. „Darum sollte der Whatsapp-Server eigentlich auch nur begrenzt viele Anfragen zulassen. Wenn zu viele kommen, sollte er stutzig werden. Das war aber nicht der Fall.“

Dabei ist eine Obergrenze für Abfragen, „Rate Limiting“ genannt, technisch leicht umsetzbar. „Was man mit den Daten alles machen könnte, ist ziemlich gruselig“, sagt Gegenhuber. In Deutschland beispielsweise hätten 51 Prozent der Nutzerinnen und Nutzer ein öffentliches Profilbild. „Daraus ließe sich etwa eine Art umgekehrtes Telefonbuch mit Gesichtserkennung bauen. Man könnte ein Foto von einer fremden Person auf der Straße machen und das mit den aus Whatsapp abgegriffenen Profilbildern abgleichen. Schon hätte man die Telefonnummer der Person.“

Die Wiener Forschenden etwa bekamen 10.000 Dollar für ihre Entdeckung

Obendrein konnten die Forschenden Millionen aktive Whatsapp-Konten in Ländern identifizieren, wo die Nutzung offiziell verboten ist, darunter China, Iran und Myanmar. Im September 2024 versuchte das Team zum ersten Mal, Meta auf Sicherheitslücken in Whatsapp aufmerksam zu machen. Von dem Konzern kam jedoch nicht viel zurück. Es folgten viele weitere Kontaktversuche, doch wieder bekamen die Forschenden keine oder nur generische Antworten.

Am 22. August 2025 drohten sie schließlich, ihre Erkenntnisse Anfang September zu veröffentlichen. Erst dann lud der Konzern sie erstmals zu einem Gespräch ein. In den darauffolgenden Monaten behob Whatsapp das Problem schließlich in enger Zusammenarbeit mit den Forschenden.

Im Rahmen von sogenannten „Bug-Bounty-Programmen“ bezahlt Meta Prämien an externe IT-Expertinnen und -Experten, wenn sie Sicherheitslücken in ihren Produkten finden. Die Wiener Forschenden etwa bekamen 10.000 Dollar für ihre Entdeckung. Für ein größeres Team ist das nicht viel Geld, findet der Forscher Maximilian Günther. Vor allem in Hinblick auf den Schaden, den man Meta erspart habe. „Aber wir machen das vor allem für die User, es sind ja auch unsere Freunde und Familien betroffen.“

Mit ihrer Arbeit möchten die Forschenden die Nutzer dafür sensibilisieren, was technisch alles möglich ist – und dazu anhalten, vorsichtig zu sein. Es lohne sich zum Beispiel, die Datenschutzeinstellungen von Apps zu überprüfen, so Gegenhuber. „Wenn bei Whatsapp das Profilbild auf privat gestellt oder nur für die eigenen Kontakte freigegeben war, dann haben wir es nicht abgreifen können.“