Ausnahmslos alle 3,5 Milliarden Whatsapp-Nutzerprofile standen ungeschützt im Netz. Forscher der Universität Wien und der österreichischen SBA Research konnten auf die Daten zugreifen und diese auswerten. Sie enthielten Telefonnummern, öffentliche Schlüssel sowie alle freiwillig angegebenen Informationen der Nutzer. Inhalte von Nachrichten waren jedoch nicht betroffen.
Dennoch liefern die abgegriffenen Daten äusserst sensible Informationen, die in den falschen Händen gefährlich werden könnten. Darunter laut einer
Zusammenfassung der Ergebnisse durch "Heise" beispielweise Angaben zu aktiven Konten aus Ländern, in denen
Whatsapp verboten ist oder für einen bestimmten Zeitraum verboten war – unter anderem China, Iran, Myanmar oder Nordkorea. Hinzu kommen Inhalte aus dem Info-Feld des individuellen Profils. Das Feld nutzen rund 30 Prozent der Whatsapp-Anwender. Aus diesen Informationen lassen sich teils Angaben zur sexuellen oder religiösen Orientierung entnehmen oder auch Links zu weiteren Social-Media-Profilen beziehungsweise E-Mail-Adressen. Potenziellen Betrügern öffnet das Tür und Tor.
Zusammenfassend lässt sich also festhalten, dass auch wenn keine persönlichen Nachrichten betroffen waren, die abgegriffenen Informationen mehr als brisant sind. Nicht nur könnten sie von Betrügern und Cyberkriminellen genutzt werden, sondern auch für politische Verfolgung. Die gesamten Ergebnisse der Untersuchung sind über die
Veröffentlichung auf Github einsehbar.
Die Forscher haben Whatsapp-Betreiber
Meta bereits Mitte 2024 auf das Datenleck aufmerksam gemacht, sind jedoch vorerst auf Desinteresse gestossen. Erst nach mehrmaligen Kontaktversuchen wurde das Unternehmen aktiv – kurz vor Veröffentlichung des Papers.
In einem Statement reagierte Meta gegenüber "Heise" auf die Enthüllungen, sprach von Scraping und erklärte, dass die Daten durch die Forscher sicher gelöscht wurden. Zudem soll es keine Hinweise darauf geben, dass die Informationen an anderer Stelle von böswilligen Akteuren abgegriffen wurden. "Wir sind den Forschern der Universität Wien für ihre verantwortungsvolle Partnerschaft und ihren Fleiss im Rahmen unseres Bug-Bounty-Programms dankbar. Durch diese Zusammenarbeit konnte eine neuartige Aufzählungstechnik identifiziert werden, die unsere vorgesehenen Grenzen überschritt und es den Forschern ermöglichte, grundlegende öffentlich zugängliche Informationen zu scrapen. Wir hatten bereits an branchenführenden Anti-Scraping-Systemen gearbeitet, und diese Studie war entscheidend für die Belastungsprüfung und die Bestätigung der unmittelbaren Wirksamkeit dieser neuen Abwehrmassnahmen."
(sta)
