Für viele Menschen im deutschsprachigen Raum ist WhatsApp längst mehr als nur ein Messenger. Es ist das zentrale Kommunikationswerkzeug für Familie, Freunde, Schule, Vereine und Arbeit. Gerade deshalb trifft jede Sicherheitslücke den Nerv: Wer dem Dienst vertraut, möchte sicher sein, dass aus der Telefonnummer nicht heimlich ein Datensatz für Kriminelle wird. 
Genau dieses Vertrauen ist nun ins Wanken geraten. Ein Forscherteam aus Österreich hat gezeigt, dass es jahrelang möglich war, in großem Stil zu prüfen, welche Telefonnummern mit WhatsApp verknüpft sind. Am Ende standen 3,5 Milliarden eindeutig zugeordnete Nummern in ihrer Datenbank – statistisch betrachtet ist die Chance hoch, dass Ihre Nummer auch darunter gewesen wäre.
Die Schwachstelle nutzt eine Funktion aus, die eigentlich harmlos wirkt. Wenn Sie im Handybuch einen neuen Kontakt anlegen oder eine Nummer in WhatsApp eintippen, prüft der Dienst im Hintergrund, ob es zu dieser Nummer ein WhatsApp Konto gibt. Ist das der Fall, tauchen Name und Profilbild direkt im Chatfenster auf. Im Alltag ist das äußerst praktisch. Aus Sicht der Sicherheit ist es jedoch ein Problem, wenn die dahinterliegende Abfrage praktisch unbegrenzt oft möglich ist. Genau hier setzten die österreichischen Forscher an: Sie automatisierten den ganz normalen Kontaktcheck, ließen Skripte Nummernblöcke durchtesten und fragten die WhatsApp Server in einem Tempo ab, das für einen Menschen unmöglich wäre.
Beim Studium der Ende zu Ende Verschlüsselung von WhatsApp nahm das Team der Universität Wien auch die umgebenden Funktionen genauer unter die Lupe: Kontaktabgleich, Metadaten, Privatsphäreneinstellungen. Dabei stellten sie fest, dass im Prozess der Nummernprüfung ein entscheidender Schutzmechanismus fehlte, das sogenannte Rate Limiting. Üblicherweise begrenzen Dienste die Anzahl von Anfragen pro IP oder Account, um automatisierten Missbrauch zu erschweren. WhatsApp war hier lange zu großzügig. In einem Testlauf schafften es die Forscher, innerhalb von rund 30 Minuten etwa 30 Millionen US Telefonnummern zu überprüfen und zu sehen, welche davon bei WhatsApp registriert waren. Über mehrere Durchläufe und Länder hinweg kamen so 3,5 Milliarden verknüpfte Nummern zusammen.
Doch bei der reinen Information, ob eine Nummer einen Account hat, blieb es nicht. Die Auswertung der Daten zeigte, wie offen viele WhatsApp Profile standardmäßig konfiguriert sind. Rund 57 Prozent der erfassten Accounts hatten das Profilbild auf sichtbar für alle gestellt. Für die Forscher bedeutete das: Sie konnten nicht nur Nummern, sondern auch Millionen von Fotos automatisiert herunterladen. Weitere 29 Prozent der Nutzerinnen und Nutzer ließen auch ihren Profiltext für jeden einsehbar. In Summe ergibt das ein erstaunlich vollständiges Mini Profil: Telefonnummer, Bild, häufig Vorname und Nachname, manchmal Beruf, Wohnort oder Links zu anderen Plattformen.
In einer wissenschaftlichen Studie dienen solche Daten vor allem als Beleg, dass ein Designfehler existiert. In falschen Händen wäre dieselbe Möglichkeit allerdings brandgefährlich. Wer eine so große Sammlung verifizierter WhatsApp Nummern besitzt, kann äußerst gezielt Phishing Nachrichten verschicken, Identitätsdiebstahl vorbereiten oder massive Spam Kampagnen fahren. Mit Profilbildern und Statusmeldungen lassen sich Altersgruppen, Regionen und Sprachen grob sortieren und die perfekte Betrugsmasche für jede Zielgruppe formulieren. Aus einer anonymen Massenmail wird dann schnell eine sehr persönliche Nachricht, die wie eine echte Kontaktaufnahme wirkt.
Besonders irritierend ist der Blick in die Vergangenheit. Nach Angaben der Forscher war Meta, der Mutterkonzern von WhatsApp, bereits im Jahr 2017 von einem anderen Team auf dieses grundlegende Problem hingewiesen worden. Trotzdem änderte sich an der Funktionsweise über Jahre hinweg wenig. Bequemlichkeit und nahtlose Kontaktfindung hatten offenbar Vorrang vor konsequenter Missbrauchsprävention. Das wirft Fragen zur Sicherheitskultur des Konzerns auf – zumal es nicht das erste Mal ist, dass Produkte von Meta wegen schlecht abgesicherter Komfortfunktionen in den Schlagzeilen landen.
Ein prominentes Beispiel dafür ist der große Facebook Datensatz, der 2021 im Netz auftauchte: Informationen zu rund 530 Millionen Nutzerinnen und Nutzern, ebenfalls mithilfe einer Suchfunktion nach Telefonnummern gesammelt. Auch dort nutzten Angreifer ein eigentlich praktisches Feature, um Stück für Stück Profile zu ergänzen. Die Parallelen sind deutlich. Die österreichischen Forscher knüpften daran an, als sie im April dieses Jahres einen ausführlichen Bericht an Meta schickten. Sie beschrieben darin detailliert, wie leicht sich die WhatsApp Kontaktabfrage missbrauchen lässt, und machten deutlich, dass starke Verschlüsselung der Inhalte allein nicht genügt, wenn die Metaebene rundherum zu offen ist.
Erst im Oktober reagierte Meta mit spürbaren technischen Änderungen. Laut den Forschern hat WhatsApp inzwischen deutlich strengere Rate Limits eingeführt. Künftige Versuche, in ähnlicher Größenordnung Nummern zu testen, sollen dadurch gestoppt oder zumindest stark gebremst werden. Das ist ein wichtiger Schritt nach vorn, auch wenn er spät kommt. Die Wissenschaftler selbst haben nach eigenen Angaben ihre Datensätze sicher gelöscht. Was aber niemand beantworten kann: Ob andere Gruppen dieselbe Lücke in den vergangenen Jahren bereits ausgenutzt haben und ob entsprechende Sammlungen von WhatsApp Nummern und Profilbildern schon auf Untergrund Marktplätzen kursieren.
Ein Blick auf Alternativen zeigt, dass es auch anders geht. Messenger wie Signal wurden von Anfang an mit einem deutlich stärkeren Fokus auf Datenschutz entwickelt. Dort ist nicht nur die Ende zu Ende Verschlüsselung Standard, sondern auch der Umgang mit Metadaten deutlich restriktiver. Kontaktabfragen werden strikt begrenzt, und der Dienst speichert so wenig Zusatzinformationen wie möglich. Dazu kommen Extras wie das Umleiten von Anrufen über eigene Server, um IP Adressen zu verschleiern, und Funktionen, die Screenshots von Chats erschweren. Das alles reduziert die Angriffsfläche für Datensammler bereits auf architektonischer Ebene.
Was bedeutet das für Ihren Alltag mit WhatsApp konkret? Die unmittelbare Gefahr, dass jetzt noch einmal jemand schnell 3,5 Milliarden Nummern abfragt, ist dank der neuen Limits geringer geworden. Trotzdem ist der Vorfall ein deutlicher Weckruf. Es lohnt sich, die eigenen Privatsphäreneinstellungen bewusst durchzugehen: Wer darf Ihr Profilbild sehen, wer Ihren Info Text, wer Ihre Zuletzt Online Anzeige oder den Onlinestatus. In vielen Fällen ist die Einstellung nur Kontakte eine sinnvolle Balance. Gleichzeitig sollten Nutzerinnen und Nutzer bei unerwarteten Nachrichten skeptischer werden, gerade wenn sie ungewöhnlich persönlich wirken oder sensible Daten abfragen.
Am Ende bleibt die Vertrauensfrage. Viele Menschen werden WhatsApp weiterhin nutzen, weil schlicht alle Bekannten dort zu erreichen sind. Andere entscheiden sich bewusst für einen Mischbetrieb: WhatsApp für oberflächliche Gespräche, große Gruppen und Alltagsorganisation, ein datenschutzorientierter Messenger wie Signal für private und beruflich sensible Inhalte. Welche Lösung für Sie passt, ist individuell. Klar ist nur eines: Ein kleines Symbol für Ende zu Ende Verschlüsselung genügt nicht, um echte Sicherheit zu garantieren. Entscheidend ist, wie sorgfältig ein Unternehmen mit allen Daten rund um die Kommunikation umgeht – und wie schnell es offensichtliche Lücken schließt, wenn Forscher Alarm schlagen.