3,5 Milliarden Konten: Komplettes Whatsapp-Verzeichnis abgerufen und ausgewertet
close notice
This article is also available in
English.
It was translated with technical assistance and editorially reviewed before publication.
.
Das gesamte Mitgliederverzeichnis von WhatsApp stand online ungeschützt zum Abruf bereit. Österreichische Forscher konnten sich deshalb alle Telefonnummern und weitere Profildaten – darunter öffentliche Schlüssel – herunterladen, ohne auf ein Hindernis zu stoßen. Sie fanden mehr als 3,5 Milliarden Konten. Gemessen an der Zahl Betroffener ist es der wohl größte Datenabfluss aller Zeiten. Ein Teil der Forschungsgruppe hat sich bereits mehrfach mit WhatsApp befasst und beispielsweise eruiert, was WhatsApp trotz Verschlüsselung verrät, und herausgefunden, wie ein Angreifer die Whatsapp-Verschlüsselung herabstufen kann. Dennoch stellte sich Whatsapp-Betreiber Meta Platforms hinsichtlich der neuen Forschungsergebnisse ein Jahr lang taub.
Weiterlesen nach der Anzeige
„Dann kennen die Wissenschaftler jetzt eben sehr viele Telefonnummern“, haben sich die Verantwortlichen womöglich gedacht, „Na und?“ Wiederholte Warnhinweise, die die Gruppe der Universität Wien und der österreichischen SBA Research ab September 2024 bei Whatsapp eingereicht haben, wurden zwar mit Empfangsbestätigungen bedacht, bald aber zu den Akten gelegt. Erst als die Forscher zweimal einen Entwurf ihres Papers einreichten und dessen unkoordinierte Veröffentlichung bevorstand, wachte Meta auf: Aus den Daten lässt sich nämlich erstaunlich viel ablesen, und für manche User kann das lebensbedrohlich sein.
Da sind einmal Informationen, die für Meta Platforms selbst sensibel sind, aus wettbewerblichen und regulatorischen Gründen: Wie viele Whatsapp-User gibt es in welchem Land, wie verteilen sie sich auf Android und iOS, wie viele sind Geschäftskonten, wie groß ist der Churn (Kundenabwanderung), und wo gibt es offensichtliche Betrugszentren großen Maßstabs. Und dann sind da mehrere Klassen von Daten, die für Anwender ungemütlich bis lebensgefährlich sein können – obwohl die Forscher keine Datenpakete an oder von Endgeräten übertragen haben (sondern nur zu Whatsapp-Servern) und auch keine Inhalte oder Metadaten von Whatsapp-Kommunikation abgefangen haben.
WhatsApp-Verbot unwirksam
So war WhatsApp Stand Dezember 2024 in der Volksrepublik China, im Iran, in Myanmar sowie in Nordkorea verboten. Dennoch fanden die Forscher damals 2,3 Millionen aktive WhatsApp-Konten in China, 60 Millionen im Iran, 1,6 Millionen in Myanmar und fünf (5) in Nordkorea. Diese Handvoll könnte vom Staatsapparat selbst eingerichtet worden sein, aber für Einwohner Chinas und Myanmars ist es höchst riskant, wenn Behörden von der illegalen WhatsApp-Nutzung Wind bekommen. Und das passiert leicht, wenn sich der gesamte Nummernraum flott abfragen lässt.
Die 60 Millionen WhatsApp-Konten mit iranischer Telefonnummer entsprachen statistisch immerhin zwei Drittel der Einwohner. Das Verbot wirkte dort also offensichtlich nicht und wurde am Heiligen Abend 2024 auch aufgehoben. Drei Monate später gab es dann schon 67 Millionen iranische Konten. Deutlich stärker hat die Zahl jener zugenommen, die dasselbe WhatsApp-Konto auf mehr als einem Gerät nutzen. Während der Verbotsphase war das offenbar zu riskant, aber wenn WhatsApp nicht illegal ist, will man es vielleicht auch am Arbeitsrechner verwenden.
Profilbilder und Info-Feld
Weiterlesen nach der Anzeige
Annähernd 30 Prozent der User haben etwas in das „Info“-Feld ihres Profils eingetragen, und dabei geben manche viel preis: politische Einstellungen, sexuelle oder religiöse Orientierung, Bekenntnisse zu Drogenmissbrauch gibt es dort genauso wie Drogendealer, die genau in diesem Feld ihr Warensortiment anpreisen. Auch darüber hinaus fanden die Wiener Forscher Angaben zum Arbeitsplatz des Users bis zu Hyperlinks auf Profile in sozialen Netzwerken, bei Tinder oder OnlyFans. E-Mail-Adressen durften natürlich nicht fehlen, darunter von Domains wie bund.de, state.gov und diverse aus der .mil-Zone. Das ist ein gefundenes Fressen für Doxxer und andere Angreifer, aber auch Spammer und einfache Betrüger.
Zudem verriet WhatsApp den Zeitpunkt der jüngsten Änderung – nicht nur des Info-Feldes, sondern auch der Profilfotos, die immerhin 57 Prozent aller WhatsApp-User weltweit hochgeladen und als für jedermann einsehbar definiert haben, darunter US-Regierungsmitglieder. Für den Nordamerika-Vorwahlbereich +1 haben die Forscher alle 77 Millionen für jedermann einsehbaren Profilbilder heruntergeladen – stolze 3,8 Terabyte in Summe. In einer daraus gezogenen zufälligen Stichprobe von einer halben Million Bildern fand eine Gesichtserkennungsroutine in zwei Dritteln der Fälle ein menschliches Gesicht. Die leichte Zugänglichkeit der Fotos hätte also erlaubt, eine Datenbank zusammenzustellen, die durch Gesichtserkennung in vielen Fällen zur Telefonnummer führt und umgekehrt. Selbst Profilbilder ohne Gesicht können geschwätzig sein: bisweilen sind Autokennzeichen, Straßenschilder oder Wahrzeichen abgebildet.
Weitere Informationen liefert die Anzeige, wie viele Geräte unter einem WhatsApp-Konto registriert sind (bis zu fünf). Aus den fortlaufend vergebenen IDs lässt sich schließen, ob diese zusätzlich genutzten Geräte häufig geändert werden oder stabil bleiben.
Wie Festplattenfunde Datenschutzprobleme in einer Gemeinde offenbaren
Etwas mehr als 6000 Einwohner zählt die Gemeinde Markt Kipfenberg, die laut Homepage „der geografische Mittelpunkt Bayerns im Herzen des Naturparks Altmühltal“ ist. Bekannt ist der Ort Kipfenberg unter anderem dafür, dass vor rund 2000 Jahren der Limes mitten durch den Ort verlaufen war, der die Grenze des Imperium Romanum zum freien Germanien markiert hatte. Dass die Gemeinde auch antiquierte Methoden zur Datenträger-Aufbewahrung pflegt, zeigt ein aktueller Fall.
Weiterlesen nach der Anzeige
Paul Müller (Name geändert) ist seit 1980 Einwohner Kipfenbergs. Seit 2022 wohnt er in einem Mehrfamilienhaus zur Miete, das der Gemeinde Markt Kipfenberg gehört. Im August 2023 suchte Müller nach Zustimmung des Hausmeisters den Versorgungsraum im Keller auf, um dort den Stromzähler abzulesen. Seiner Schilderung zufolge befanden sich unter dem Zählerschrank, achtlos auf dem Boden abgestellt, drei Pappkisten, die mit 30 bis 40 Festplatten und einer ebenso großen Anzahl Sicherungsbändern befüllt waren. Eines der Bänder sei mit der Abkürzung „EWO“ versehen gewesen. Müller vermutet, dies steht für „Einwohnermeldeamt“.
Zu diesem Zeitpunkt habe am Versorgungsraum ein Türschloss gefehlt. Der Weg von außerhalb dorthin sei für jeden seit drei Wochen frei zugänglich gewesen, weil wegen Bauarbeiten das Tiefgaragentor ebenfalls offengestanden habe. Auf dem Weg sei ihm außerdem ein offener Karton mit anderen Dingen aufgefallen, in dem sich augenscheinlich auch eine Festplatte aus dem Fundus befunden habe. Seine Vermutung: Einer der Bauarbeiter habe sich bereits bedient und etwas zur Seite geschafft. Müller legte seinen Angaben zufolge die Platte wieder in eine der drei Kisten zurück. Er erzählte einem Nachbarn von dem Fund. Dieser habe den Bürgermeister von Markt Kipfenberg informiert, der dann auch vor Ort erschienen sei. Der Bürgermeister habe damals versichert, die Datenträger seien bereits zuvor „sicherheitsgelöscht“ worden.
Man könnte meinen, dieser Vorfall habe nun dafür gesorgt, dass die Gemeinde ihr mangelhaftes Entsorgungskonzept für gebrauchte Datenträger geändert hat. Doch am 29. September 2025 sind offensichtlich dieselben Datenträger wieder im Haus aufgetaucht, dieses Mal fand ein Nachbar Müllers sie im unverschlossenen Heizungskeller hinter Wasserboilern. Müller berichtete uns, dass dieser Heizungskeller „unverschlossen war und in der Regel ständig wechselnden Reinigungskräften, Servicekräften der Heizungsfirma und Mitarbeitern der Gemeinde“ zugänglich gewesen sei. Er habe wie beim ersten Vorfall die Datenträger fotografiert und festgestellt, dass es sich um dieselben wie beim Fund zwei Jahre zuvor gehandelt habe, außer, dass einige gefehlt hätten.
Diesmal habe er zwei Festplatten herausgegriffen, mit in die Wohnung genommen und gemeinsam mit seinem Nachbarn als Zeugen an seinen PC angeschlossen. Er habe nun wissen wollen, ob sie wirklich sicherheitsgelöscht seien. Keine sei verschlüsselt oder gelöscht gewesen. Auf einer Platte fand er seinen Angaben zufolge eine Verzeichnisstruktur, deren Ordner „Personalwesen, Bescheide, Bauverwaltung oder Standesamt“ hießen. Außerdem habe er Protokolle von nicht öffentlichen Gemeinderatssitzungen von 1992 bis 2015 gesehen. Er habe Screenshots von der Verzeichnisstruktur gefertigt, keine Daten gespeichert, die Platte wieder abgezogen und in die Kiste zurückgelegt. Die andere habe er behalten, die Polizei über den Fund und sein Vorgehen informiert und die Platte „zur Beweissicherung“ dort abgegeben.
Müller ging seinen Worten zufolge und wohl mit einiger Berechtigung davon aus, dass das Band mit der Aufschrift „EWO“ hoch vertrauliche Daten des Einwohnermeldeamtes enthält. Deshalb habe er „umgehend eine Gemeindemitarbeiterin, die in der Nachbarschaft wohnt und einen ‚Dienstschlüssel‘ besitzt, aufgefordert, den Kellerraum unverzüglich abzuschließen“. Dies geschah dann auch.
Zwischenablage, abseits des Fundorts: Ein Bauarbeiter könnte sich bereits am Datenträgerfundus der Gemeinde bedient haben.(Bild: Paul Müller)
Anschließend habe er die Gemeinde mangels Vertrauen nicht mehr informiert, sondern die Geschehnisse direkt der zuständigen Datenschutz-Aufsichtsbehörde gemeldet. In Bayern ist die Datenschutzaufsicht zweigeteilt: Für den nicht-öffentlichen Bereich, also die Unternehmen, zeichnet das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) in Ansbach verantwortlich. Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) sitzt in München und beaufsichtigt öffentliche Stellen, also etwa Behörden und Gemeinden. Genau dorthin versandte Müller seine Meldung. Außerdem informierte er c’t über die Vorfälle.
Weiterlesen nach der Anzeige
Vororttermin geplant
Wir haben beim BayLfD angefragt, ob die Behörde in der Sache ein Verfahren eingeleitet hat. Man behandele die Frage, „ob und mit welchem Inhalt ihm Beschwerden oder Kontrollanregungen vorliegen und Verfahren durchgeführt werden, grundsätzlich vertraulich“, teilte uns Regierungsdirektor Patrick Veigel vom BayLfD am 8. Dezember mit. Er könne daher „lediglich allgemein bestätigen, dass in der KW 50 eine Vor-Ort-Prüfung bei der Gemeinde Kipfenberg durchgeführt wird“.
Dies hatte uns indirekt zuvor bereits Silvia Obermeier, Geschäftsleiterin der Gemeinde Markt Kipfenberg, bestätigt. Es sei ein Vororttermin geplant, teilte sie uns Ende November mit. Unsere Fragen zu den Vorfällen beantwortete Obermeier so: Man werde „bis zur Klärung mit dem Landesdatenschutzbeauftragen keine Angaben hierzu machen können. Danach sind wir gerne bereit, eine Stellungnahme abzugeben“. Die Gemeinde nehme „die Angelegenheit sehr ernst“ und unternehme alles, damit so etwas nicht mehr vorkommt. Und: „Die Datenträger sind sicher verwahrt, sodass Folgeschäden ausgeschlossen sind.“
Eigentlich wollten wir von der Gemeinde wissen, wer Zugriff auf die mutmaßlich teils sensiblen Daten von Einwohnern und Mitarbeitern gehabt haben könnte. Außerdem interessierte uns, wieso die Datenträger laut Hausbewohner Müller nach zwei Jahren erneut in einem ungesicherten Raum aufbewahrt wurden, und was dazwischen alles damit geschah. Immerhin scheint es zumindest möglich, dass Daten in fremde Hände gelangten.
Google bietet uns seine Dienste kostenlos an und lässt uns unbemerkt mit unseren Daten zahlen. Wer bei Metas Social-Media-Portalen Reichweite bekommt und wer untergeht, bestimmen undurchsichtige Empfehlungssysteme. Tech-Konzerne wenden Unsummen dafür auf, gesetzliche Regulierung in ihrem Sinne mit Lobbyarbeit zu beeinflussen.
Doch es gibt Alternativen zu den großen monopolistischen Strukturen – für den privaten Chat unter Freund:innen, die Datenspeicherung auf Arbeit oder auch für die Infrastruktur unseres Staates. Wir machen diese Lösungen sichtbar und geben auch denen eine Stimme, die keine millionenschweren Lobbyabteilungen hinter sich haben.
Netzwerk des Bundestags am Montag stundenlang ausgefallen
Ab 14:30 Uhr ging am Montagmittag erst einmal nichts mehr im Deutschen Bundestag – das Netzwerk, E-Mail, gemeinsame Laufwerke und die Drucker waren offline. Die bestätigte ein Sprecher auf Anfrage von heise online.
Weiterlesen nach der Anzeige
Parallel zu den Waffenstillstands-Verhandlungen, die wenige Meter weiter im Bundeskanzleramt mit dem ukrainisichen Präsidenten Wolodimir Selenskyj, Donald Trumps Schwiegersohn Jared Kushner und dem US-Sondergesandten Steve Witkoff stattfinden, ein gezielter Angriff auf die Bundestags-IT? Und das, nachdem erst am vergangenen Freitag das Auswärtige Amt die Bundesregierung den russischen Botschafter einbestellt hatte – wegen Desinfomations- und IT-Sicherheitsvorfällen, welche die Nachrichtendienste der Bundesrepublik klar russischen Akteuren zuschreiben? Sollte es sich um eine Machtdemonstration, etwa der Fancy Bear getauften, und auch als Advanced Persistent Threat 28 (APT28) identifizierten Einheit des russischen Militärgeheimdienstes GRU handeln? Der sich schon in der Vergangenheit im Bundestagsnetzwerk zu schaffen gemacht haben soll?
Systeme laufen wieder, Ausfallursache unklar
Die Aufregung jedenfalls war unter Abgeordneten, Mitarbeitern und Medien am Montagnachmittag ausgesprochen groß. Erst nach mehreren Stunden kamen die Netze wieder ans Laufen. Was genau passiert ist, darüber herrscht derzeit noch keine Klarheit, betont ein Sprecher der Verwaltung des Bundestags. „Routinemäßig“ sei das Bundesamt für Sicherheit in der Informationstechnik (BSI) hinzugezogen worden – was in der Vergangenheit nicht immer der Fall war, da das BSI als Exekutivbehörde eigentlich nicht für die gesetzgebende Gewalt, das Parlament, zuständig ist. Am frühen Abend, so der Sprecher, seien die Systeme nach und nach wieder in Betrieb genommen worden. Er betonte: „Die Ursache für die Störung ist aktuell weiter offen.“ Allerdings spricht die schnelle Wiederinbetriebnahme gegen den Verdacht, dass diese nachhaltig kompromittiert sein könnten.
Der Bundestag steht immer wieder im Fokus von Angriffen. Das Parlament verfügt dabei über gleich mehrere, voneinander teilweise unabhängige IT-Infrastrukturen. Die Methoden schwanken dabei von manipulierten USB-Sticks über gestreute Attacken auf Office-Produkt bis hin zu gezieltem Spearphishing gegen einzeln Akteure. Der Bundestag selbst betreibt ein Netzwerk für die Arbeitsplatzrechner und Drucker der Abgeordneten und Mitarbeiter sowie der Parlamentsverwaltung. Die Bundestagsfraktionen wiederum nutzen teils eigene IT-Infrastruktur. Dazu kommt ein WLAN im Bundestag, das weitgehend vom Rest der Netze separiert ist – und auch vom heutigen Ausfall nicht betroffen gewesen sein soll.
