Ein österreichisches Forscherteam hat eines der größten bekannten Datenlecks der Internetgeschichte aufgedeckt. Rund 3,5 Milliarden WhatsApp-Profile waren über Monate hinweg öffentlich im Netz verfügbar. Die Daten stammten von Nutzern weltweit, darunter auch Regierungs- und Militärorganisationen.
Inhaltsverzeichnis:
- Universität Wien und SBA Research entdecken Sicherheitslücke
- Öffentliche Profilbilder erleichterten Gesichtserkennung
- Betroffene Länder und Sicherheitsrisiken
- Meta reagiert mit Verzögerung
- Konsequenzen für Nutzer und Behörden
Universität Wien und SBA Research entdecken Sicherheitslücke
Forscher der Universität Wien und der Sicherheitsorganisation SBA Research stießen auf das Leck im Jahr 2024. Sie meldeten ihre Ergebnisse bereits im September desselben Jahres an den Mutterkonzern Meta. Die Reaktion von Meta blieb zunächst aus. Nach Angaben des Teams waren sämtliche öffentlichen Profildaten unzureichend geschützt. Dazu gehörten Telefonnummern, E-Mail-Adressen, Profiltexte, Links zu sozialen Netzwerken und Fotos.
Etwa 30 % der betroffenen Nutzer hatten besonders detaillierte Angaben gemacht. Dazu zählten Informationen über sexuelle Orientierung, politische Ansichten oder sogar Hinweise auf Drogenkonsum und -handel. Einzelne Profile wurden offenbar gezielt genutzt, um illegale Aktivitäten zu bewerben. Besonders kritisch war der Fund von E-Mail-Adressen aus staatlichen und militärischen Bereichen.
Weitere Beispiele für unzureichenden Datenschutz finden sich auch in anderen digitalen Projekten. Wie wichtig die sichere Verarbeitung sensibler Daten ist, zeigt ein Bericht über Gefahren für deutsche Exchange-Server.
Öffentliche Profilbilder erleichterten Gesichtserkennung
Laut heise.de hatten etwa 57 % aller WhatsApp-Nutzer ein Profilfoto öffentlich eingestellt. Die Forscher luden rund 3,8 Terabyte an Bildmaterial allein aus Nordamerika herunter. In zwei Dritteln der Stichproben waren Personen klar erkennbar – teilweise sogar mit sichtbaren Kennzeichen oder geografischen Hinweisen. Damit wäre eine Zuordnung über Gesichtserkennung oder Telefonnummer technisch leicht möglich gewesen.
Auch bei Projekten zur digitalen Sicherheit wird zunehmend auf biometrische Risiken hingewiesen. Ein verwandter Beitrag zu biometrischen Logins erklärt, wie solche Technologien geschützt werden können.
Betroffene Länder und Sicherheitsrisiken
Besonders heikel war das Datenleck in Staaten, in denen WhatsApp verboten oder stark überwacht wird. Laut den Analysen von heise.de betraf es:
- 2,3 Millionen Nutzer in China
- 60 Millionen im Iran
- 1,6 Millionen in Myanmar
- 5 Nutzer in Nordkorea
In diesen Ländern könnte der unbefugte Zugriff auf Nutzerdaten ernsthafte Folgen haben. Behörden wären in der Lage, die Nutzung des Dienstes nachzuvollziehen, was in autoritären Regimen lebensgefährlich sein kann.
Meta reagiert mit Verzögerung
Meta bestätigte das Leck auf Anfrage des Magazins PC Welt. Der Konzern sprach von einem „Scraping“ öffentlich zugänglicher Daten und erklärte, die Informationen seien inzwischen gelöscht worden. Hinweise auf Missbrauch gebe es nicht. Meta betonte zudem, dass Nachrichten weiterhin Ende-zu-Ende-verschlüsselt seien.
Dennoch zeigt der Fall, dass technische Schutzmechanismen nicht ausreichend waren, um Milliarden von Datensätzen zu sichern. Experten sehen darin ein weiteres Beispiel für strukturelle Schwächen im Umgang mit Nutzerdaten. Eine Übersicht über die aktuelle Sicherheitslage digitaler Systeme bietet der Artikel Cyberangriffe 2025.
Konsequenzen für Nutzer und Behörden
Datenschützer fordern nun eine genaue Prüfung durch Aufsichtsbehörden. Dabei geht es um mögliche Verstöße gegen Datenschutzvorgaben und die verspätete Reaktion von Meta. Ob Dritte tatsächlich Zugriff auf die Daten hatten, ist bisher ungeklärt.
Für Nutzer empfehlen die Forscher mehrere Schutzmaßnahmen:
- Profilangaben auf das Nötigste reduzieren.
- Keine identifizierbaren Fotos verwenden.
- Keine Links zu privaten Konten hinterlegen.
- Bei Telefonnummernwechsel das Konto löschen und neu anlegen.
- In sicherheitskritischen Fällen ein neues Gerät nutzen.
Der Fall zeigt, wie wichtig der bewusste Umgang mit persönlichen Daten ist. Behörden und Unternehmen müssen künftig stärker auf Datensicherheit und technische Prävention achten, um ähnliche Vorfälle zu verhindern.
Quelle: Saarbrücken Zeitung