Eine der größten Datenschutzlücken aller Zeiten hat 3,5 Milliarden WhatsApp-Profile offengelegt. Forscher der Universität Wien konnten innerhalb weniger Monate einen kompletten Zensus der weltweiten WhatsApp-Nutzerbasis erstellen – und dabei sensible Informationen von Telefonnummern über Profilbilder bis hin zu Standorten sammeln. Was sie in den Profilen entdeckten, sollte jedem Nutzer und Unternehmen zu denken geben.
So funktionierte der massive Datenzugriff
Das Forschungsteam um Gabriel K. Gegenhuber nutzte eine simple, aber fatale Schwachstelle: WhatsApp erlaubt es, andere Nutzer über deren Telefonnummern zu finden – jedoch ohne wirksame Ratenbegrenzungen. Mit einem selbst entwickelten Tool namens „libphonegen“ generierten die Wissenschaftler realistische Telefonnummern für 245 Länder und überprüften diese systematisch.
Die Effizienz des Exploits ist erschreckend: Das Team konnte über 100 Millionen Konten pro Stunde scannen und in Spitzenzeiten 7.000 Nummern pro Sekunde überprüfen – ohne jemals von WhatsApps Sicherheitssystemen blockiert zu werden. Insgesamt wurden 63 Milliarden generierte Telefonnummern getestet, was zur Identifizierung von 3,5 Milliarden aktiven WhatsApp-Konten führte.
Besonders brisant: Meta wurde bereits 2017 vor genau dieser Schwachstelle gewarnt, reagierte jedoch erst im Oktober 2025 mit einer Ratenbegrenzung, nachdem die österreichischen Forscher das Problem im April gemeldet hatten.
Was die Profile über ihre Nutzer verrieten
Die gesammelten Daten offenbarten weit mehr als nur Telefonnummern. 57% der identifizierten Konten hatten öffentliche Profilbilder, zwei Drittel davon mit erkennbaren menschlichen Gesichtern. 29% zeigten sichtbare Status-Texte, die häufig intime Einblicke gewährten: sexuelle Orientierung, politische Ansichten, Drogenkonsum, berufliche E-Mail-Adressen und Links zu anderen Plattformen wie LinkedIn, Tinder oder sogar OnlyFans. Für den nordamerikanischen Bereich mit der Vorwahl +1 luden die Forscher alle 77 Millionen öffentlich sichtbaren Profilbilder herunter – insgesamt 3,8 Terabyte an Daten.
Verbotene Nutzung in autoritären Regimen
Besonders heikel ist die Nutzung von WhatsApp in Ländern, die den Dienst offiziell verboten haben. In China identifizierten die Forscher 2,3 Millionen aktive Konten, in Myanmar 1,6 Millionen und selbst in Nordkorea fanden sie fünf aktive Profile.
Im Iran, wo WhatsApp zeitweise verboten war, entdeckten die Wissenschaftler 60 Millionen Konten während des Verbots und 67 Millionen drei Monate nach dessen Aufhebung.
Diese Zahlen sind brisant, da Länder wie China bekannt dafür sind, Menschen zu verfolgen, die Verbote für WhatsApp und andere Plattformen umgehen. Die Daten könnten in den falschen Händen zu erheblichen Konsequenzen für die betroffenen Nutzer führen.
Auch die Kontinuität digitaler Identitäten wurde sichtbar: Die Hälfte der Telefonnummern aus dem großen Facebook-Datenleck von 2021 – das 533 Millionen Nutzerprofile betraf – waren noch immer unter den 3,5 Milliarden WhatsApp-Datensätzen aktiv.
Metas verzögerte Reaktion auf die Sicherheitslücke
Nitin Gupta, VP of Engineering bei WhatsApp, gab zu, dass die Forscher „eine neuartige Enumerationstechnik identifizierten, die unsere beabsichtigten Grenzen überschritt.“ Er betonte jedoch, dass keine Nachrichteninhalte betroffen waren und alle Daten von den Forschern sicher gelöscht wurden.
Bemerkenswert ist die träge Reaktionszeit: Meta brauchte fast ein Jahr, um auf die zahlreichen Tickets zu reagieren, die das Forschungsteam eingereicht hatte. Erst als die Wissenschaftler einen Vorabdruck ihrer Studie einreichten, bat Meta um ein Konferenzgespräch und darum, die Veröffentlichung zu verzögern.
Digitale Verletzlichkeit im vernetzten Zeitalter
Die Studie „Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy“ wird in den Proceedings des NDSS Symposium 2026 veröffentlicht und zeigt eindrücklich, wie anfällig selbst die größten digitalen Plattformen sein können.
Für Unternehmen und Privatpersonen gilt: Was in WhatsApp-Profilen steht, kann potenziell von jedem gesammelt werden. Geschäftliche Kontakte, interne Kommunikationsstrukturen und persönliche Informationen waren jahrelang für automatisierte Scraping-Angriffe zugänglich.
Die Forscher haben ihre Erkenntnisse und Tools auf GitHub veröffentlicht (https://github.com/sbaresearch/whatsapp-census), jedoch ohne die gesammelten Daten, die vor der Veröffentlichung gelöscht wurden.
Digitale Selbstverteidigung ist Pflicht
Der WhatsApp-Census zeigt, dass selbst bei vermeintlich sicheren Plattformen mit Milliarden Nutzern grundlegende Sicherheitslücken jahrelang unentdeckt oder unbehoben bleiben können. Was als öffentlich sichtbare „Basisinformation“ erscheint, kann in der Masse und Kombination zu einem tiefgreifenden Datenschatzproblem werden.
Für eure digitale Sicherheit bedeutet dies: Überprüft regelmäßig eure Privatsphäre-Einstellungen, minimiert die in Profilen geteilten Informationen und seid euch bewusst, dass jedes öffentliche Profilbild und jeder Status potenziell dauerhaft gespeichert werden kann – auch wenn WhatsApp selbst mittlerweile Ratenbegrenzungen implementiert hat.
univie.ac.at – Researchers discover security vulnerability in WhatsApp
theregister.com – 3.5B WhatsApp users‘ info scooped through enumeration flaw
heise.de – 3.5 Billion Accounts: Complete WhatsApp Directory Retrieved and Evaluated
sba-research.org – Researchers discover security vulnerability in WhatsApp
