WhatsApp-Nutzerzahlen leicht von Hackern abrufbar
WhatsApp hat eine große Nutzerbasis, und das Wachstum des Dienstes ist teilweise darauf zurückzuführen, wie einfach es ist, Personen zu finden, die den Service nutzen – man benötigt lediglich deren Telefonnummer. Leider bedeutet dies auch, dass die Telefonnummern aller WhatsApp-Nutzer bis vor kurzem leicht von jedermann, einschließlich potenzieller Hackergruppen, abgerufen werden konnten.
Dies wurde von österreichischen Forschern aufgedeckt, die in der Lage waren, Telefonnummern von allen 3,5 Milliarden WhatsApp-Nutzern zu extrahieren. Bei etwa 57 % dieser 3,5 Milliarden Nutzer konnten die Forscher zudem auf deren Profilbilder zugreifen, und bei weiteren 29 % war es ihnen möglich, den Text auf deren Profilen einzusehen.
Wenn Sie sich fragen, welche speziellen Hacking-Techniken dafür erforderlich waren, kann man sagen, dass es keine gab. Die Forscher haben im Grunde genommen versucht, Milliarden von Nummern hinzuzufügen – genau wie es jeder Nutzer tun würde. Man fügt eine Nummer hinzu, und WhatsApp zeigt an, ob die Person mit dieser Nummer ein Konto hat oder nicht, und zeigt das Profilbild sowie den Kontotext an.
Das war alles, was diese Forscher getan haben, jedoch im großen Maßstab, indem sie WhatsApp Web, die browserbasierte Schnittstelle des Dienstes, verwendeten. In diesem Jahr konnten sie etwa 100 Millionen Telefonnummern pro Stunde überprüfen, da WhatsApp-Muttergesellschaft Meta trotz einer Warnung eines anderen Forschers im Jahr 2017 nichts unternommen hatte, um dieses Problem zu beheben.
Glücklicherweise informierten die österreichischen Forscher Meta im April über das Problem, und im Oktober implementierte das Unternehmen eine Ratenbegrenzung, um eine derartige massenhafte Kontaktentdeckung zu verhindern. Allerdings wurde dies viele Jahre lang nicht umgesetzt, in denen verschiedene böswillige Akteure das System ausnutzen konnten.
Meta betonte seinerseits, dass alle diese Daten „grundlegende öffentlich verfügbare Informationen“ seien und dass Profilbilder und Texte nicht für Nutzer sichtbar waren, die diese privat gemacht hatten. Das Unternehmen versichert zudem, dass es „keine Beweise für böswillige Akteure gibt, die diesen Vektor ausgenutzt haben“ und dass „keine nicht öffentlichen Daten für die Forscher zugänglich waren“.
Quelle: GSM Arena
