Sicherheitslücke bei WhatsApp legte Milliarden von Telefonnummern offen

Einer Forschergruppe gelang es, 3,5 Milliarden Telefonnummern und die dazugehörigen WhatsApp Daten zu extrahieren.

Written by aktualisiert: 21 November 2025 12:30 IST

Sicherheitslücke bei WhatsApp legte Milliarden von Telefonnummern offen

Höhepunkte

Forscher überprüften eine große Anzahl möglicher Nummern auf WhatsApp
Sie nutzten Automatisierung, um diese Telefonnummern zu verarbeiten
Es wurde festgestellt, dass WhatsApp keine Ratenbegrenzungen anwendet

Forscher nutzten eine Sicherheitslücke in WhatsApp aus, um rund 3,5 Milliarden Telefonnummern und zugehörige Kontodaten offenzulegen. Laut der Studie machten sich die Forscher die Tatsache zunutze, dass die zu Meta gehörende Plattform keine Beschränkungen für die Anzeige von Profilen registrierter Konten vorsieht. Dadurch konnten sie große Mengen potenzieller Telefonnummern verarbeiten und überprüfen, ob diese Nummern jemandem gehörten. Die Forscher gaben an, dass dies die umfangreichste jemals dokumentierte Offenlegung von Telefonnummern und zugehörigen Profildaten sei und in den falschen Händen ein erhebliches Sicherheitsrisiko darstellen könnte.

Forscher legen 3,5 Milliarden WhatsApp Konten offen

Ein Forscherteam der Universität Wien und von SBA Research hat eine Schwachstelle im Kontaktfindungssystem von WhatsApp entdeckt, die es ermöglichte, rund 3,5 Milliarden Telefonnummern und zugehörige Profildaten zu ermitteln. Die Forschungsarbeit wurde auf GitHub veröffentlicht und beschreibt die Methode detailliert. Sie hebt eine kritische Sicherheitslücke im WhatsApp System hervor.

Die Methode nutzte die Möglichkeit von WhatsApp aus, ein Telefonbuch hochzuladen und schnell zu sehen, welche Kontakte bereits ein Konto besitzen. Die Forscher automatisierten den Prozess, indem sie systematisch große Mengen möglicher Telefonnummern einfügten und erfassten, ob jede Nummer registriert war. Da das System keine effektive Ratenbegrenzung durchsetzte, konnten sie stündlich zig Millionen Nummern überprüfen.

Ihre Analyse zeigt, dass für viele der gefundenen Nummern zusätzliche öffentliche Metadaten verfügbar waren. Konkret hatten etwa 57 Prozent der Konten Profilfotos, die für alle sichtbar waren, und rund 29 Prozent enthielten Text im Feld „Über mich“ des Profils.

Interessanterweise identifizierten die Forscher auch Millionen von Konten in Ländern, in denen WhatsApp verboten ist. Sie fanden 2,3 Millionen Konten in China, 1,6 Millionen in Myanmar und etwa 60 Millionen im Iran, indem sie Telefonnummernbereiche für diese Länder nutzten. „Telefonnummern waren nicht dafür gedacht, als geheime Kennungen für Konten verwendet zu werden, aber so werden sie in der Praxis genutzt“, zitierte Wired einen Forscher.

Laut Wired wandten sich die Forscher an Meta, um auf das Problem der Nummernzählung hinzuweisen, das das Unternehmen daraufhin im Oktober behob. Meta gab angeblich an, dass es sich bei den offengelegten Informationen um „grundlegende, öffentlich zugängliche Informationen“ handelte und dass weder auf Nachrichteninhalte noch auf private Daten zugegriffen wurde.