WhatsApp ist für viele Menschen längst kein „Messenger unter vielen“ mehr, sondern die Standard-App, über die Familie, Job, Verein und Klassenchat laufen. Der Deal klingt simpel: Wer deine Telefonnummer hat, kann dich erreichen, und WhatsApp zeigt dir im Gegenzug sofort, ob eine Nummer auf der Plattform aktiv ist – oft direkt mit Profilbild und Statuszeile. Genau diese radikale Einfachheit hat dem Dienst geholfen, auf rund 3,5 Milliarden Konten zu wachsen. 
Doch sie hat auch einen massiven Nebeneffekt: Sie macht die Telefonnummer zu einem halböffentlichen Identifikator und öffnet damit die Tür für systematisches Auslesen von Nutzerdaten.
Ein Forscherteam aus Österreich hat genau das demonstriert – ohne Spezialzugriff, ohne Sicherheitslücke im klassischen Sinne. Sie haben nicht versucht, Server zu hacken, sondern einfach das automatisiert, was jede Nutzerin beim Anlegen eines Kontakts macht: Nummer eintragen, WhatsApp fragen, ob dahinter ein Account steckt, und gegebenenfalls Profilinfos abgreifen. Nur haben sie das nicht mit ein paar Dutzend Kontakten gemacht, sondern mit Milliarden von Nummern. Ergebnis: Sie konnten für praktisch alle 3,5 Milliarden WhatsApp-Konten überprüfen, ob sie existieren, bei rund 57 Prozent ein Profilbild sehen und bei weiteren etwa 29 Prozent den frei sichtbaren Profiltext auslesen.
In der Sicherheitswelt heißt so etwas Enumeration. Man bricht kein Schloss auf, sondern stellt dem System extrem viele Ja-Nein-Fragen und speichert die Antworten. WhatsApp Web, also die Browser-Variante des Dienstes, erwies sich dabei als besonders praktisches Einfallstor. Dort fehlten lange Zeit strenge Limits, wie viele Nummern in welcher Zeit geprüft werden dürfen. Laut den Forschern waren so etwa 100 Millionen Nummern pro Stunde möglich. Wenn man das über Tage oder Wochen durchzieht, entsteht kein kleiner Adressabgleich mehr, sondern eine globale Karte: Welche Nummer nutzt WhatsApp, mit welchen sichtbaren Metadaten – sortierbar nach Ländern, Vorwahlbereichen oder beliebigen Listen.
Viele Nutzerinnen zucken vielleicht mit den Schultern und sagen: Im Kleinen war das doch schon immer möglich, man kann schließlich auch eine SMS an eine zufällige Nummer schicken oder eine E-Mail-Adresse ausprobieren. Der Vergleich hinkt allerdings an einer entscheidenden Stelle: der Skalierung. Einmal nachschauen, wer hinter einer mysteriösen Nummer steckt, ist etwas völlig anderes, als milliardenweise Nummern durch einen automatisierten Prozess zu jagen und die Antworten in Datenbanken zu kippen. Erst in diesem industriellen Maßstab wird die Komfortfunktion zur Datenquelle, die ideal ist für Spam, Betrugsmaschen, Social Engineering oder auch für staatliche Überwachung.
Besonders bitter: Das Problem kommt keineswegs überraschend. Meta, der Konzern hinter WhatsApp, wurde bereits 2017 von einem anderen Forscher auf genau dieses Risiko hingewiesen. Die Warnung war klar formuliert: Wenn die Kontaktsuche technisch ungebremst bleibt, können Kriminelle, Datenhändler und andere interessierte Akteure ohne großen Aufwand komplette Verzeichnisse aller WhatsApp-Nutzer aufbauen. Trotzdem blieb das grundsätzliche Verhalten des Systems über Jahre fast unverändert. In dieser Zeit hätte jede halbwegs gut organisierte Gruppe still und leise ähnliche Scans durchführen können – ohne Schlagzeilen, ohne Transparenz, aber mit enormem Wert auf dem Schattenmarkt für personenbezogene Daten.
Erst nachdem das österreichische Team seine Ergebnisse im Frühjahr erneut meldete, zog Meta sichtbar die Notbremse. Seit April werden nach und nach strengere Rate-Limits ausgerollt, und im Herbst war die Drosselung so weit, dass massenhaftes Durchprobieren deutlich erschwert ist. Das ist ein sinnvolles technisches Update – aber es löst das Grundproblem nur teilweise. Zum einen weiß niemand, wer in den Jahren davor bereits im großen Stil Nummern gesammelt hat. Zum anderen bleibt die Logik dahinter dieselbe: Wer eine Telefonnummer kennt, kann weiterhin sehr einfach testen, ob sie an einen WhatsApp-Account gebunden ist und welche Infos der Account nach außen preisgibt.
Offiziell argumentiert Meta, es handle sich bei den abgegriffenen Angaben um grundlegende, öffentlich zugängliche Informationen. Wer Profilbild und Status auf „Nur Kontakte“ oder „Niemand“ gesetzt hat, sei zudem nicht betroffen. Formal mag das stimmen. Aus Nutzerperspektive fühlt es sich dennoch anders an. Die wenigsten Menschen würden ihre Handynummer freiwillig in ein öffentliches Online-Telefonbuch eintragen. In dem Moment, in dem sie sie bei einem Messenger hinterlegen, rechnen sie mit einem halb geschlossenen System – nicht mit der Möglichkeit, dass Dritte dieses System als riesige Suchmaschine missbrauchen. Dass viele User kurz nach dem Umstieg auf WhatsApp einen spürbaren Anstieg von Spam-Anrufen und Fake-Gewinnspielen erleben, passt nur zu gut in dieses Bild.
Zwar lässt sich nicht sauber beweisen, dass jede Welle unerwünschter Anrufe direkt auf WhatsApp-Scraping zurückgeht. Neben dem Messenger gibt es Datenlecks bei Shops, Banken, Mobilfunkanbietern und zahllosen Apps. Aber aus Angreiferperspektive ist WhatsApp ein idealer Baustein: Eine bestätigte Nummer, hinter der erkennbar eine reale Person steht – vielleicht mit Foto und persönlichem Status – ist deutlich wertvoller als ein bloßer Eintrag in einer anonymen Excel-Liste. Kombiniert man diese Information mit anderen Leaks, lassen sich gezielte Phishing-Kampagnen, Deepfake-Anrufe oder personalisierte Betrugsversuche bauen.
Viele, die mit Metas Umgang mit Privatsphäre hadern, schauen deshalb zu Alternativen wie Signal oder Telegram. Signal punktet mit quelloffenem Code und konsequentem Security-Fokus, Telegram mit Funktionsvielfalt und großen Gruppen. Gleichzeitig gibt es auch dort Misstrauen: Wer steht wirklich hinter dem Projekt, wo liegen die Server, welche Metadaten fallen an. Das viel größere Hindernis ist aber der Netzwerkeffekt. Es nützt wenig, wenn man selbst auf Signal wechselt, während die Familie, der Fußballchat, die Eltern-WhatsApp-Gruppe und die Hälfte der Kundschaft weiter ausschließlich im grünen Messenger unterwegs ist. Rational auszusteigen heißt für viele ganz praktisch: wichtige Gespräche zu verpassen.
Am Ende zeigt der Fall vor allem eines: Es brauchte keinen spektakulären Hack, um 3,5 Milliarden WhatsApp-Accounts systematisch erfassbar zu machen. Es genügte, das konsequent auszunutzen, was im Design angelegt war: die Telefonnummer als globalen Schlüssel zur Identität und ein System, das diese Identität sehr großzügig bestätigt. Die nachträglich eingeführten Limits sind ein Schritt in die richtige Richtung, ändern aber nichts an der Grundfrage: Wie viel Privatsphäre sind wir bereit aufzugeben, um es im Alltag so bequem wie möglich zu haben. Wer weiterhin WhatsApp nutzt, sollte zumindest die Privatsphäre-Einstellungen konsequent durchgehen, sich für besonders sensible Gespräche nicht nur auf einen Dienst verlassen – und im Hinterkopf behalten, dass jede Telefonnummer, die zum Tor in die digitale Welt wird, früher oder später auch in den Fokus von Datenjägern geraten kann.