Es gab in den letzten beiden Jahrzehnten unzählige Pannen, bei denen Abermillionen an Nutzerdaten durch erfolgreiche Systemeinbrüche entwendet werden konnten. Einige Beispiele: Sieben Millionen Accounts von Adobe (2019), 700 Millionen Datensätze von LinkedIn (2021), Millionen Nutzerdaten von Twitter (2022) – und der bisherige Rekordhalter Yahoo mit drei Milliarden entwendeten Accounts (2017). Allerdings stellt die jüngste WhatsApp-Schwachstelle all das in den Schatten, denn die Rede ist von potenziell 3,5 Milliarden abgegriffenen Telefonnummern sowie hinterlegte Accountfotos.


Einfaches Durchraten von Nummern...
Eigentlich ist es nicht korrekt, von "jüngste Panne" zu sprechen, denn Sicherheitsforscher hatten bereits im Jahr 2017 auf die Schwachstelle hingewiesen. Allerdings ignorierte Meta die Warnungen offensichtlich und implementierte keinen Schutz. Sehr einfach ließ sich nämlich die Nummernüberprüfung dazu verwenden, beliebige Zahlenfolgen durchzuraten und sich dann von WhatsApp ein "gibt es" oder "gibt es nicht" zurückgeben zu lassen.

...und WhatsApp unterstützte aktiv
Es ließ sich von den Forschern nachweisen, dass auf diese Weise tatsächlich auf simplem Wege eine Datenbank sämtlicher WhatsApp-Telefonnummern entstehen konnte. In nur 30 Minuten wurden im Versuch bereits 30 Millionen Accounts von US-Nutzern gespeichert, insgesamt brachte man es auf besagte 3,5 Milliarden.

Eine Stunde Skript, 60 Millionen Nummern
Sofern selbiger Angriff von böswilligen Akteuren erfolgt, hätte man in wenigen Tagen die vollständige Liste aller Nutzer weltweit vorliegen – das von offizieller Seite aus als gültige Nummer verifiziert. Der Forscher Aljosha Judmayer von der Universität Wien bezeichnet dies als die größte Datenpanne, welche jemals zu beobachten war. Da es so einfach und so lange bekannt war, dürfte man wohl eine Erklärung haben, warum sich derart viel Spam und Scam über WhatsApp-Nutzer ergießt.

Meta reagiert, will nichts von aktiver Ausnutzung wissen
Wie die Sicherheitsexperten angeben, habe man die gewonnene Liste natürlich vollständig gelöscht und Meta darüber in Kenntnis gesetzt. Sechs Monate sollte es dann jedoch dauern, bis das Unternehmen endlich einen Mechanismus umsetzte, der keine unbegrenzte Anzahl an Anfragen mehr erlaubte. Laut Meta war ein solches Schutzverfahren ohnehin schon in Arbeit – und man verfüge über keine Hinweise, dass es zu aktiver Ausnutzung der Schwachstelle gekommen sei.