WhatsApp-Datenleck: IT-Forscher der Universität Wien decken gigantischen Skandal auf

Als IT-Forscher der Universität Wien einen Blick auf den Messenger WhatsApp warfen, stießen sie auf eine Sicherheitslücke mit historischem Ausmaß. Über ein zentrales Feature konnten sie praktisch das komplette Nutzerverzeichnis des Dienstes auslesen. Betroffen waren Daten zu 3,5 Milliarden WhatsApp-Konten weltweit, ohne dass Meta, der Mutterkonzern, den automatisierten Zugriff bemerkte.

Entdeckt wurde das Leck bereits im Herbst 2024. Doch erst rund ein Jahr nach der ersten Entdeckung und Monate nach einer formellen Meldung an Meta wurde die Schwachstelle technisch geschlossen.

Ausgangspunkt war der sogenannte Contact-Discovery-Mechanismus von WhatsApp. Diese Funktion gleicht das Adressbuch eines Nutzers mit der WhatsApp-Datenbank ab, um anzuzeigen, welche Kontakte den Messenger verwenden. Eigentlich soll dieser Abgleich bequem und begrenzt sein.

Das Team der Universität Wien und des Forschungszentrums SBA Research zeigte jedoch, dass sich diese Funktion automatisieren und bis zum Äußersten skalieren lässt. Mit speziell programmierten Anfragen konnten die Forschenden mehr als 100 Millionen Telefonnummern pro Stunde prüfen und so am Ende 3,5 Milliarden aktive Konten in 245 Ländern bestätigen.

Bemerkenswert: Alle Anfragen liefen offen über eine IP-Adresse, die klar der Universität Wien zuzuordnen war. Trotzdem griff offenbar kein Schutzmechanismus bei WhatsApp, obwohl von einer Quelle aus insgesamt rund 63 Milliarden Telefonnummern durchprobiert wurden. Erst die wissenschaftliche Veröffentlichung machte das ganze Ausmaß der Sicherheitslücke sichtbar.

Die Chats selbst blieben durch die Ende-zu-Ende-Verschlüsselung geschützt. Doch über den Contact-Discovery-Mechanismus ließen sich zahlreiche Metadaten abrufen, die viel über Nutzer verraten. Dazu gehörten unter anderem Telefonnummern, Zeitstempel, technische Details und teilweise personenbezogene Informationen.

Die Forscher konnten für einen großen Teil der 3,5 Milliarden Konten auch öffentlich gesetzte Profilbilder und Infotexte auslesen. Laut Auswertungen waren bei rund 57 Prozent der untersuchten Konten Profilfotos sichtbar, bei knapp 30 Prozent ein öffentlicher Infotext. Aus den Daten ließen sich zudem das verwendete Betriebssystem, das Alter eines Kontos und die Zahl verbundener Zweitgeräte wie WhatsApp Web ableiten.

Besonders heikel ist, was die Daten über Nutzer in Ländern verraten, in denen WhatsApp offiziell verboten oder stark reguliert ist. Die Analyse zeigte Millionen aktive WhatsApp-Konten etwa in China, Iran oder Myanmar.

In diesen Staaten könnten Behörden die Schwachstelle nutzen, um gezielt nach Telefonnummern zu suchen, WhatsApp-Nutzer zu identifizieren und deren Profile mit Namen und Bildern zu verknüpfen. Für Oppositionelle, Journalistinnen oder Aktivisten birgt das ein erhebliches Risiko, da Kommunikation über verbotene Dienste schnell kriminalisiert werden kann.

Auch abseits autoritärer Regime sind die Daten attraktiv. Ein vollständiges, leicht zu filterndes Verzeichnis von Milliarden Telefonnummern mit Profilbildern, Namen und Infotexten ist für Betrüger, Spammer und Werbenetzwerke ein wertvolles Ziel. Je mehr sich die Daten mit anderen Leaks kombinieren lassen, desto feiner kann das Bild einzelner Personen werden.

Die Wiener Forschungsgruppe verglich ihre Auswertung mit einem früheren Datenleck von Facebook, bei dem 2021 Daten von mehr als 500 Millionen Nutzerinnen und Nutzern im Netz landeten. Ein großer Teil dieser damals geleakten Telefonnummern ist laut Analyse noch immer auf WhatsApp aktiv.

Das bedeutet: Wer bereits im Facebook-Leck auftauchte, ist weiterhin einem erhöhten Risiko ausgesetzt. Telefonnummer, Name und weitere Daten sind seit Jahren öffentlich bekannt. Über die WhatsApp-Schwachstelle ließen sich nun zusätzlich Profilbilder, Statusinformationen und technische Metadaten ergänzen. Damit steigt die Gefahr gezielter Phishing-Angriffe, betrügerischer Anrufe oder Identitätsmissbrauch.

Neben den Profildaten untersuchten die Forschenden auch die kryptografischen Schlüssel, die WhatsApp für die verschlüsselte Kommunikation verwendet. In einigen Fällen fanden sie identische Schlüssel, die bei mehreren Konten auftauchten, teils sogar hunderte Male. In Einzelfällen wurden Schlüssel entdeckt, die komplett aus Nullen bestanden.

Die Forschenden vermuten, dass diese Auffälligkeiten vor allem auf inoffizielle WhatsApp-Clients und betrügerische Nutzung zurückgehen. Solche Apps können Sicherheitsmechanismen unterlaufen und etwa von Betrügern eingesetzt werden, die automatisiert auf WhatsApp zugreifen. Für betroffene Nutzer bedeutet das, dass ihre Kommunikation unter Umständen weniger gut geschützt ist als gedacht.

Laut der Universität Wien wurden die Ergebnisse verantwortungsvoll und frühzeitig an Meta gemeldet. Die Forschenden sprechen von Responsible Disclosure und betonen, dass alle Datensätze vor Veröffentlichung gelöscht wurden.

Details zum Zeitablauf zeichnen ein differenziertes Bild. Nach eigenen Angaben stieß das Team bereits im Jahr 2024 bei Voruntersuchungen auf das Problem, als es eigentlich nur erfassen wollte, welche Metadaten WhatsApp außer den Nachrichten selbst preisgibt. Spätestens im September 2024 war demnach klar, dass sich das System in großem Stil ausnutzen lässt.

Die Forschenden meldeten die Schwachstelle im April 2025 offiziell über das Bug-Bounty-Programm von Meta. Laut einem späteren Bericht wurden sie im Verlauf zweimal an den Konzern herangetreten, doch erst kurz vor der öffentlichen Präsentation der Studie im Herbst 2025 zog WhatsApp technische Konsequenzen. Wirksame Rate-Limits, die massenhafte Abfragen verhindern sollen, setzte Meta erst im Oktober 2025 um.

Damit vergingen von der ersten Entdeckung bis zu robusten Schutzmaßnahmen etwa zwölf Monate. In dieser Zeit hätte die Lücke theoretisch auch von weniger wohlmeinenden Akteuren genutzt werden können, ohne dass WhatsApp davon etwas bemerkte.

Meta bedankt sich in Stellungnahmen ausdrücklich bei der Universität Wien und betont, man habe bereits an Anti-Scraping-Systemen gearbeitet. Die entdeckte Angriffsmethode habe geholfen, diese neuen Schutzmechanismen zu testen und zu bestätigen. Zudem verweist das Unternehmen darauf, dass es keine Hinweise auf missbräuchliche Nutzung der Lücke gebe und dass Chat-Inhalte durchgängig verschlüsselt seien.

Zugleich stuft Meta die offengelegten Informationen als „grundlegende öffentlich verfügbare Daten“ ein, da Nutzer ihre Profilinformationen einschränken könnten. Die Forschenden widersprechen dieser Deutung indirekt, indem sie zeigen, wie groß der Anteil der Konten ist, bei denen Profilbild oder Infotext ohne Einschränkung sichtbar sind. Für viele Betroffene war nicht offensichtlich, wie weitreichend diese Einstellung tatsächlich ist.

Die Sicherheitslücke in der Kontaktabfrage ist laut Meta inzwischen geschlossen. Für Nutzerinnen und Nutzer bleibt dennoch die Frage, wie sie ihr Profil künftig besser schützen können. Denn auch bei reparierter Schwachstelle bleibt WhatsApp auf Telefonnummern als zentralem Identifikator aufgebaut, was massenhaftes Auslesen bei künftigen Fehlern weiterhin begünstigt.