Beim Messengerdienst WhatsApp des US-Technologiekonzerns Meta ist es zu einem massiven Datenleck gekommen. Das zeigt ein aktueller Bericht von Sicherheitsforschenden, das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert. Weltweit konnten 3,5 Milliarden WhatsApp-Konten automatisiert ausgelesen werden. Darunter etwa 75 Millionen deutsche Konten. Das sind fast alle deutschen WhatsApp-Nutzerinnen und -Nutzer.
Geschehen konnte dies durch Schwachstellen in der „Contact-Discovery“-Funktion - die Funktion, die prüft, welche der eigenen Kontakte WhatsApp nutzen. Mit sogenannten Enumerationsangriffen konnten die Forscherinnen und Forscher automatisiert Profildaten abfragen - beispielsweise Telefonnummern, Profilbilder, E-Mail-Adressen, Profiltexte und weitere Metadaten konnten fast vollständig abgegriffen werden. Diese Informationen sind für Betrugsversuche, Identitätsmissbrauch, übergreifendes Tracking und zielgerichtetes Social Engineering besonders wertvoll, erklärt das BSI. Auf der Chatplattform habe es keinen Sicherheitsmechanismus gegeben, der dies verhindert, zum Beispiel Profilschutz, eine Einschränkung von möglichen Abfragen oder dass die IP-Adresse von Angreifern blockiert wird.
Laut BSI reagierte der Betreiber erst mehrere Monate, nachdem das Problem gemeldet wurde. Dadurch ist nicht auszuschließen, dass auch böswillige Akteure die Schwachstelle entdeckt und bereits ausgenutzt haben.
Chats weiterhin sicher - möglicherweise Telefonnummern, E-Mail-Adressen und Profilbilder von Milliarden Whatsapp-Nutzern geklaut
Weiterhin durch Ende-zu-Ende-Verschlüsselung geschützt und damit nicht vom Datenleck betroffen sind jedoch persönliche Chats.
Durch das Datenleck besteht für Nutzerinnen und Nutzer eine größere Gefahr, Opfer von betrügerischen Phishing-Nachrichten und Spam-Anrufen zu werden. Besonders gefährlich ist das Leck in Kombination mit geleakten Daten aus anderen Hacks. Erst kürzlich wurde ein XXL-Datenleck mit 1,3 Milliarden betroffenen Passwörtern bekannt. Theoretisch könnte es sogar zu Zero-Click-Angriffen kommen, bei denen Nutzerinnen und Nutzer nicht einmal auf einen Link klicken müssen. Dabei installiert sich die Schadsoftware von alleine auf dem Handy und Kriminelle können das komplette Handy übernehmen.