Am 18. November machte eine Forschungsgruppe der Universität Wien und des Forschungszentrums SBA Research einen der „größten Datenabflüsse aller Zeiten“ bekannt. Der Gruppe war es gelungen, 3,5 Milliarden Nutzer-Profile des Messengerdienstes WhatsApp zu sammeln, inklusive Profilbildern, Infotexten und öffentlichen Schlüsseln. Die dazugehörige Studie „Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy“ veröffentlichten sie, nachdem Mutterkonzern Meta die Sicherheitslücke geschlossen hatte.
Die abgeflossenen Daten stuft WhatsApp als öffentlich ein. Dennoch konnten die Forscher*innen vieles aus ihnen ablesen. Auch Profile von WhatsApp-Nutzenden in China, Myanmar und Nordkorea fanden sie. In diesen Ländern ist der Instant-Messenger verboten. Aljosha Judmayer ist Teil der Fakultät für Computerwissenschaften der Universität Wien und Co-Autor der Studie. Er spricht über den erstaunlichen Fund des Datenlecks und dessen Implikationen.
netzpolitik.org: Herr Judmayer, Ihnen ist es gelungen, praktisch das gesamte WhatsApp-Nutzerverzeichnis mit rund 3,5 Milliarden Profilen ungehindert abzurufen und zu analysieren. Wie haben Sie es geschafft, eine so große Menge an Daten zu sammeln?
Aljosha Judmayer: Unsere Forschungsgruppe befasst sich schon länger mit Instant-Messengern wie WhatsApp oder Signal. Im Zuge anderer Projekte sind wir auf eine kleine Sicherheitslücke bei einer Funktion von WhatsApp gestoßen. Ein Kollege ist dann auf die Idee gekommen, die Software-Schnittstelle zwischen WhatsApps Teilnehmerverzeichnis und dem Smartphone-Adressbuch auch auf diese Sicherheitslücke zu untersuchen.
netzpolitik.org: Was fanden Sie dort?
Aljosha Judmayer: Durch die Programmschnittstelle zwischen Nutzerverzeichnis und Adressbuch können Nutzende schauen, ob ihre Kontakte bei WhatsApp registriert sind. Wir haben das einfach in sehr großem Stil gemacht. Wir haben es geschafft, einen Katalog von Milliarden von generierten, aber möglichen Telefonnummern mit dem Nutzerverzeichnis abzugleichen und konnten so ungefähr 3,5 Milliarden WhatsApp-Profile ausfindig machen.
netzpolitik.org: WhatsApp hat die Zahl der Anfragen nicht begrenzt?
Aljosha Judmayer: Es gab keine Obergrenze, wie viele Telefonnummern man in einer gewissen Zeit abfragen kann, also kein Rate-Limiting. Anhand der Telefonnummern konnten wir durch andere Abfragen auch an Nutzerinfos gelangen, wie das Profilbild, den Info-Text und die öffentlichen Schlüssel des Profils.
netzpolitik.org: Waren Sie überrascht über das Ausmaß der Sicherheitslücke?
Aljosha Judmayer: Ja, wir waren sehr überrascht. Zwischen dem ersten Projekt, durch das wir auf fehlendes Rate-Limiting bei einer Funktion von WhatsApp aufmerksam wurden, und dem Aufdecken des Datenlecks haben wir uns noch mit sogenannten One-time Prekeys beschäftigt. Dabei haben wir die schon angesprochene kleine Sicherheitslücke gefunden. Die haben wir Meta gemeldet und darauf hingewiesen, dass das dort fehlende Rate-Limiting vielleicht auch in anderen Bereichen zum Tragen kommen könnte, zum Beispiel beim Nutzerverzeichnis.
netzpolitik.org: Wie hat Meta reagiert?
Aljosha Judmayer: Wir haben sehr generische Antworten erhalten, im Sinne von: „Danke, schauen wir uns an.“ Wir dachten dann, dass man sich bei Meta offenbar sehr sicher ist, dass es bei Telefonnummern ein Rate-Limit gibt. Also haben wir angefangen, uns das selbst anzuschauen. Wir haben erwartet, dass wir relativ schnell geblockt werden, weil das ja doch etwas heikel ist. Wir sind ja nicht die ersten, die auf die Idee kamen, Telefonnummern zu enumerieren. Als es dann doch funktioniert hat, waren wir sehr überrascht.
netzpolitik.org: Sie haben gerade ein anderes Projekt erwähnt, durch das Sie als erstes auf fehlendes Rate-Limiting bei WhatsApp gestoßen sind. Worum ging es in dem Projekt?
Aljosha Judmayer: Es basierte auf der Funktion von WhatsApp, bei der man mit Emojis auf Nachrichten reagieren kann. Wenn wir in einem Messenger wie Signal oder WhatsApp Nachrichten bekommen, schickt unser Gerät automatisch Nachrichten an den Sender zurück, auch ohne dass wir antworten. In denen sagt unser Gerät so viel wie: Ja passt, habe ich bekommen, konnte ich entschlüsseln, alles erfolgreich. Diese Bestätigungen werden automatisch verschickt, ohne das man es merkt. Und sie werden auch dann verschickt, wenn jemand mit einem Emoji auf eine Nachricht reagiert und dann das Emoji noch mal verändert. Nur bekomme ich als Empfänger das nicht mit.
netzpolitik.org: In welchem Zusammenhang steht das mit Rate-Limiting?
Aljosha Judmayer: Wir dachten uns: Na gut, wenn der Empfänger das nicht merkt, kann man das ja auch sehr oft machen, im Sekundentakt. Vielleicht kann man aus den Zeiten, die die Anfrage braucht von Handy zu WhatsApp-Server und wieder zurück, interessante Daten herauslesen. Wir haben dann sehr schnell sehr viele Anfragen gemacht und wollten das System ausreizen. Bis uns aufgefallen ist, dass das sehr schwierig ist, es also kein sogenanntes Rate-Limiting gibt. Dieser fehlende Schutz vor übermäßigen Abfragen ist auch die Grundlage des Datenlecks.
netzpolitik.org: Inhaltsdaten sind bei dem Leck nicht abgeflossen, also keine Nachrichten. Dafür aber Metadaten wie Telefonnummern, Profilbilder und öffentliche Schlüssel. Lassen sich durch eine Verknüpfung dieser Daten einzelne Nutzer*innen identifizieren?
Aljosha Judmayer: Wenn das Profilbild auf öffentlich gestellt ist und das Gesicht der jeweiligen Person zeigt, dann ja. Wir haben exemplarisch eine kleine Stichprobe an Profilbildern auf ihren Inhalt untersucht. Ein signifikanter Prozentsatz beinhaltete wirklich Gesichter. In diesen Fällen hätte man einzelne Nutzende identifizieren können. Vorausgesetzt, das gezeigte Gesicht gehört auch wirklich dem oder der Nutzenden.
netzpolitik.org: Sie haben Meta vor der Veröffentlichung mehrfach über Ihre Entdeckungen informiert. Wie hat das Unternehmen darauf reagiert?
Aljosha Judmayer: Wir haben in unserem Paper zum Datenleck auch eine sehr detaillierte Timeline zum Kontakt mit Meta, die kann ich nur empfehlen. Dort sieht man, dass wir Meta zum ersten Mal im September 2024 auf Probleme mit dem Rate-Limiting aufmerksam gemacht haben. Erst 2025 haben wir aber explizit darauf hingewiesen, dass Enumeration von Telefonnummern auch möglich ist. Wir bekamen einen standardmäßigen Fragebogen, den wir ausfüllten und dann schloss Meta das Anliegen.
netzpolitik.org: Wie lange hat es ab da noch gedauert, bis Meta das Ausmaß des Problems erkannt hat?
Aljosha Judmayer: Man kann widersprechen und das eingereichte Anliegen wieder öffnen, was wir taten. Wirklich Notiz genommen von unserer Entdeckung hat Meta aber erst im August oder September dieses Jahres. Da haben wir ihnen quasi das fertige Paper geschickt und darauf hingewiesen, dass es bereits für eine Konferenz akzeptiert wurde und dass wir es bald online stellen. Plötzlich wollte Meta am nächsten Tag einen Call. Ab dem Zeitpunkt ging es schnell. Sie haben dann angefangen, Maßnahmen zu ergreifen und uns gebeten, die Veröffentlichung zurückzuhalten. Das haben wir auch getan, weil wir gemerkt haben, dass es Meta jetzt ernst meint. Sie haben Rate-Limiting implementiert und wir konnten bestätigen, dass man über die Endpunkte, die wir benutzt haben, nicht mehr WhatsApp-Profile en masse abfragen kann.
netzpolitik.org: Hat Meta das Problem damit behoben?
Aljosha Judmayer: Ja. Wir haben natürlich nicht die gesamte WhatsApp-Infrastruktur auf Herz und Nieren getestet. Ausschließen können wir nichts, aber so, wie wir es gemacht haben, geht auf jeden Fall nicht mehr.
netzpolitik.org: Meta hat gegenüber Heise ein Statement abgegeben, in dem von einer Zusammenarbeit mit Ihrer Forschungsgruppe im Rahmen von Metas Bug-Bounty-Programm die Rede ist. In Ihrem Paper werden viele erfolglose Kontaktaufnahmen mit Meta geschildert, bevor sich der Konzern dem Anliegen Ihrer Forschungsgruppe annahm. Was halten Sie von dieser Stellungnahme, in der Meta von Zusammenarbeit spricht?
Aljosha Judmayer: Man kann die Zeitspanne ab dem Zeitpunkt, wo Meta reagiert hat, schon als Zusammenarbeit betrachten. Von da an gab es fast jede oder jede zweite Woche eine Abstimmung. Davor war die Zusammenarbeit recht einseitig. Was intern bei Meta passiert ist, kann ich nicht beurteilen.
netzpolitik.org: Das Bug-Bounty-Programm belohnt Finder von Sicherheitslücken bei Meta. Werden Sie im Rahmen des Programms auch eine Kompensation erhalten?
Aljosha Judmayer: Es gibt bis jetzt nur eine mündliche Zusage von Meta. Laut der sollen wir für das Finden des Datenlecks 11.000 Euro bekommen. Dazu kommen noch die anderen kleineren Schwachstellen, die wir gefunden haben, sodass sich der Betrag insgesamt auf ungefähr 17.000 Euro beliefe. Aber uns war es auch einfach ein Anliegen, dass diese Daten nicht mehr so leicht zugänglich sind. Auch wenn die Daten aus WhatsApps Sicht alle öffentlich sind. Wir wollten halt zeigen, dass man selbst aus diesen öffentlichen Daten interessante Dinge herauslesen kann.
netzpolitik.org: Eine der brisantesten Erkenntnisse ist, dass der Messenger auch in Ländern wie China oder Myanmar genutzt wird, wo er eigentlich verboten ist. Das kann Menschen ins Gefängnis oder gar in Lebensgefahr bringen. Machen die Maßnahmen, die Meta getroffen hat, die Lage für Nutzer*innen in diesen Ländern sicherer? Gibt es dort überhaupt sichere Nutzung?
Aljosha Judmayer: Ich kenne mich mit der Rechtslage in den jeweiligen Ländern nicht genügend aus, um einschätzen zu können, was da konkret die Bedrohungsszenarien sind. Durch den Fix ist es auf jeden Fall nicht mehr so leicht, an WhatsApp-Nutzerdaten zu kommen. Unser Projekt war jetzt keine sehr elaborierte Teststellung mit verschiedenen wechselnden IP-Adressen und unterschiedlichen Telefon-Nummern. Wir haben nichts verschleiert und es hat trotzdem funktioniert. Das geht jetzt nicht mehr und das ist auf jeden Fall gut. Ob es ausreicht, kann ich nicht sagen.
Genau deswegen war es uns auch ein Anliegen, unsere Ergebnisse öffentlich zu machen. So können Menschen in den Ländern mit WhatsApp-Verbot erfahren, wie leicht man sie als Nutzer*innen aufspüren kann und das in ihre persönliche Risikobewertung mit einfließen lassen. Ob und wie WhatsApp verwendet wird, muss jeder einzeln entscheiden.
netzpolitik.org: Müssen sich Nutzende Sorgen machen, dass andere vor Ihnen die Lücke ebenfalls bemerkt haben und in der Lage waren, im gleichen großen Stil Daten abzufragen, um diese zum Beispiel für illegale Zwecke zu nutzen?
Aljosha Judmayer: Das ist eine Frage, die nur WhatsApp im Detail beantworten kann. Oder diejenigen, die die Daten potenziell illegal abgefragt haben, aber die werden es wahrscheinlich nicht. Wir können nur Aussagen über den Zeitraum treffen, in dem wir getestet haben, also von Ende letzten Jahres bis ungefähr zum Oktober dieses Jahres. Da konnte man Daten abfragen, das hätten auch Dritte gekonnt. Laut WhatsApp gibt es keine Indikatoren, dass das jemand anderes gemacht hat.
Liebe Leser:innen,
das Wort des Jahres ist „KI-Ära“. Das Thema Künstliche Intelligenz „ist aus dem Elfenbeinturm der wissenschaftlichen Forschung herausgetreten und hat die Mitte der Gesellschaft erreicht“, begründet die Gesellschaft für deutsche Sprache ihre Wahl.
Die Bundesdruckerei hockt derweil in ihrer ganz eigenen Abgeschiedenheit. Sie setzt den Datenatlas um, der „souveräne Datenkatalog für die Bundesverwaltung“. Mitarbeitende verschiedener Ministerien und Behörden sollen hier nachschlagen können, wo welche Daten liegen.
Eigentlich eine gute Sache. Doch das Projekt ist offenbar Lichtjahre von der technischen Gegenwart, geschweige denn von irgendeiner „KI-Ära“ entfernt. Zu diesem Schluss kommt zumindest der Wissenschaftler David Zellhöfer in einem Gutachten, über das meine Kollegin Esther diese Woche berichtet hat. Demnach biete der Datenatlas weniger Funktionen als Datenbanken aus dem Jahr 1986, so das markige Urteil. Damals war das Wort des Jahres übrigens „Tschernobyl“. So lange ist das her.
Auf Platz 2 kam vor knapp vierzig Jahren das Wort „Havarie“, was so viel wie Fehler oder Schaden bedeutet. Den will die Bundesdruckerei nun offenbar noch vergrößern. Als wir sie mit den Ergebnissen des Gutachtens konfrontieren, schrieb die bundeseigene GmbH zurück, gegebenenfalls rechtliche Schritte gegen Zellhöfer einzuleiten.
Zellhöfer nahm sein Gutachten daraufhin offline, um sich rechtlich abzusichern. „Ich war unmittelbar eingeschüchtert“, sagte er gegenüber netzpolitik.org, „obwohl die Antwort der Bundesdruckerei in keiner Weise sachlich nachvollziehbar ist.“
Inzwischen ist das Gutachten wieder abrufbar. Und Zellhöfer kann mit mehr Humor auf die Sache schauen. Positiv gesehen könne der Datenatlas auch „als Projekt eines Retro-Computing-Enthusiasten“ durchgehen, sagt er.
Ein bisschen mehr Humor wünsche ich auch der Bundesdruckerei. Dann trägt sich die Atlas-Last gleich leichter.
Habt ein schönes Wochenende!
Daniel
Am Freitagvormittag gibt es offenbar erneut Probleme beim CDN-Anbieter Cloudflare. Verschiedene Webseiten sind nicht verfügbar – sie liefern lediglich einen HTTP-Fehler 500 aus. Die Ursache ist unklar, der Anbieter spricht von „API-Problemen“.
Weiterlesen nach der Anzeige
Fehler 500 beim Besuch von cloudflare.com
Stichproben einiger Webseiten wie cloudflare.com, aber auch die beliebten Störungsmelder downdetector.com und allestoerungen.de sind fehlerhaft oder komplett defekt: Mal fehlt die Startseite komplett, in anderen Fällen lediglich die per Cloudflare-CDN ausgelieferten Assets wie Bilder und Stylesheets
Cloudflares Statusseite hingegen ist, anders als beim vorherigen Ausfall im November, noch immer verfügbar. Sie spricht von Fehlern bei der Cloudflare API und dem Dashboard. „Customers using the Dashboard / Cloudflare APIs are impacted as requests might fail and/or errors may be displayed.“
Wie Cloudflare nun erläuterte, handelte es sich beim Ausfall um eine Auswirkung der kürzlich bekannt gewordenen kritischen „React2Shell“-Sicherheitslücke im React-Framework. Das Unternehmen habe für die Web Application Firewall, die neben Kundendomains offenbar auch die eigene Webseite schützt, eine Änderung eingespielt, um vor CVE-2025-55182 zu schützen. Was genau schiefgegangen sei, werde man später bekanntgeben, so das Unternehmen. Ein Cyberangriff liege nicht vor.
Weiterlesen nach der Anzeige
Der Cloudflare-eigene DNS-Resolver 1.1.1.1 war für viele Telekom-Kunden offenbar am Abend des 3. Dezember nicht erreichbar. Wie Betroffene auf Reddit beklagten, führte das zu Internetausfällen – weil auch die Alternative 1.0.0.1 nicht funktionierte. Mittlerweile scheint diese Störung jedoch behoben, die Ursache ist unklar.
Am Abend des 3. Dezember erreichte keiner der 150 Messpunkte des Monitoringnetzes „RIPE Atlas“ im Netz der Telekom den DNS-Server 1.1.1.1.
(Bild: Reddit-User lordgurke)
Update
05.12.2025,
10:16
Uhr
Cloudflare hat laut eigenen Angaben Problembehebungen vorgenommen und beobachtet die Störung weiter.
Update
05.12.2025,
11:08
Uhr
Erste Fehleranalyse seitens Cloudflare ergänzt.
(cku)
Kaum ist öffentlicher Exploitcode in Umlauf, gibt es erste Berichte zu Angriffen auf React-Server. Sicherheitspatches sind verfügbar.
Weiterlesen nach der Anzeige
Die „kritische“ Lücke (CVE-2025-55182 CVSS Score 10 von 10) ist erst seit wenigen Tagen bekannt und betrifft ausschließlich React-Server. Attacken sollen aus der Ferne und ohne Authentifizierung möglich sein. Durch das Versenden von präparierten HTTP-Anfragen können Angreifer Schadcode auf Systeme schieben und diese so vollständig kompromittieren.
Die Entwickler versichern, die Schwachstelle in den React-Ausgaben 19.0.1, 19.1.2 und 19.2.1 geschlossen zu haben.
Wie aus einem Beitrag eines Sicherheitsforschers auf X hervorgeht, ist mittlerweile Exploitcode in Umlauf. Im gleichen Zeitraum meldet das IT-Sicherheitsteam von Amazon AWS bereits die ersten Attacken. Sie geben in einem Beitrag an, dass ihre AWS-Services von der Lücke nicht betroffen sind.
Die AWS-Sicherheitsforscher ordnen die Attacken staatlichen-chinesischen beziehungsweise chinafreundlichen Bedrohungsakteuren wie Earth Lamia und Jackpot Panda zu. Diese Gruppen haben weltweit primär staatliche Einrichtungen und kritische Infrastrukturen aus dem Energiesektor im Visier.
Dabei sollen die Gruppen äußerst professionell und zügig vorgehen. Dafür nutzen sie den Forschern zufolge unter anderem automatisierte Scan- und Angriffstools. Außerdem verfeinern sie ihre Angriffstechniken stetig, um die Erfolgsquote ihrer Attacken zu steigern. In welchem Umfang die Angriffe ablaufen und ob sie territorial begrenzt sind, ist derzeit nicht bekannt.
Weiterlesen nach der Anzeige
Admins sollten umgehend handeln und ihre React-Server durch die Sicherheitspatches schützen. In ihrem Beitrag führen die Sicherheitsforscher Parameter (Indicators of Compromise, IoC) auf, an denen Admins bereits attackierte Systeme erkennen können.
(des)
Illustrierte Reise nach New York City › PAGE online
Jetzt patchen! Erneut Attacken auf SonicWall-Firewalls beobachtet
Aus Softwarefehlern lernen – Teil 3: Eine Marssonde gerät außer Kontrolle
Top 10: Die beste kabellose Überwachungskamera im Test
Fake It Untlil You Make It? Trifft diese Kampagne den Nerv der Zeit? › PAGE online
Kommandozeile adé: Praktische, grafische Git-Verwaltung für den Mac
SK Rapid Wien erneuert visuelle Identität
Schluss mit FOMO im Social Media Marketing – Welche Trends und Features sind für Social Media Manager*innen wirklich relevant?
