Warum ist WhatsApp so erfolgreich? Na, weil sie nicht nur Dich am Haken haben. Genau dafür hast Du ganz aktiv gesorgt! In dem Moment, wo Du bei WhatsApp Dein Konto eröffnet hast, um in der digitalen Welt eingebürgert zu werden, ist so ganz nebenbei Dein komplettes Adressbuch eingeatmet worden. Aber nicht nur das, auch wenn Du danach irgendeine Änderung vorgenommen hast oder ein Eintrag hinzukam, wandert das sofort nach Übersee – Du hast ja nix zu verstecken.

Für Dich ist das ganz praktisch, denn bei Dir tauchen alle WhatsApp-Kontakte sofort auf. Weil WhatsApp das gesamte Adressbuch bekommt, sind auch alle Kontakte mit nach Übersee gegangen, die kein WhatsApp haben, mit weiteren Angaben, wie Adresse oder Geburtsdatum, das lässt sich nicht verhindern. Was bei mir einen Brechreiz auslöst, ich habe kein WhatsApp, aber bin in genügend Adressbüchern, vielleicht sogar mit einem Bild oder dem Geburtstag. Das ist jetzt da, wo ich nicht sein will.

Fragt sich, wie machen die das so temporeich und umfänglich? Ganz einfach: sie haben bereits alle anderen Adressbücher. Wer sich anmeldet, gibt sein Adressbuch in fremde Hände, die lesen es und vergleichen mit dem, was sie bereits haben, und sofort füllt sich sekundenschnell das Portefeuille meiner WhatsApp-Kontakte. Das sind praktisch alle.

Was brauchen die dazu? Einen Rechner, der das rasend schnell verarbeitet. Bei WhatsApp heißt dieses Ding „Discoverytool“, dort schicke ich eine Telefonnummer hin und mir wird zurückgemeldet, ob und wer dahinter steckt, welcher Account der Nummer zugeordnet ist und weitere Angaben, wie Profilbilder, Mailadressen, Geburtsort etc., sofern der Humpen das mit eingetragen hat.

Mit ein paar hundert Anfragen ist das in Bruchteilen von Sekunden erledigt. Geht aber mehr, viel mehr.

Ein sechsköpfiges Team der „Fakultät für Informatik der Universität Wien“ rund um Gabriel Gegenhuber der Forschergruppe „Security and Privacy“ mit Maximilian Günther haben mit dem „Contact Discovery Mechanismus“ von Meta (die stellen der Server für WhatsApp) ein bissel experimentiert. Das klappte ganz erstaunlich gut.

Was sie dazu brauchten, war ein Stapel von möglichen Telefonnummern. Dazu haben sie sich die Nummernbereiche, die es weltweit gibt, angesehen, einfach hochgezählt und jede Nummer über den „Contact Discovery Mechanismus“ nachgefragt. Das ging erstaunlich gut, ohne jede zeitliche Einschränkung. Sie haben 7000 Nummern pro Sekunde angefragt, 3000 Profile pro Sekunde gab es zu holen oder auch 5500 Profilbilder pro Sekunde. Insgesamt konnten sie pro Stunde 100 Millionen Telefonnummern abfragen.

Die Leitung von Übersee nach Wien glühte förmlich und die Festplatten der Forscher füllten sich terabyte-weise. Nur um es in Erinnerung zu rufen: das waren keine Cyberkriminellen, die gar mit Hilfe von KI böswillig Sicherheitslücken ausnutzten und Daten klauten, sondern Forscher, die mit Hausmitteln ausgeputzt haben.

Die fette Beute waren 3,5 Milliarden WhatsApp-Konten, 57 Prozent davon mit Profilbildern (heutzutage hochgefährlich), allein das waren 3,8 Terabyte, nebenbei auch Links auf die Profile in sozialen Netzwerken, auch massig Mailadressen, bei denen u.a. die Domain „bund.de“ natürlich nicht fehlen durfte. Wer die Ergebnisse der Forscher im Original erleben will, der findet sie unter „Hey there! You are using WhatsApp“

Meta (das ist Facebook), die WhatsApp gekauft haben, sprechen auch nicht von einer Sicherheitslücke, sondern von einer Schwachstelle. Die Forscher hatten Meta allerdings Mitte 2024 bereits darauf hingewiesen, aber erst jetzt, als der Topf übergekocht ist, haben sie reagiert. Der Server verweigert nun unbegrenzte Anfragen, Meta sagt in einer Stellungnahme dazu: „Wir hatten bereits an branchenführenden Anti-Scraping-Systemen gearbeitet, und diese Studie war entscheidend für die Belastungsprüfung und die Bestätigung der unmittelbaren Wirksamkeit dieser neuen Abwehrmassnahmen.“

Na, dann kann ja nix mehr passieren. Von meiner Seite bleibe ich dabei. Nur Daten, die nicht erhoben wurden, können nicht missbraucht werden. Einen solchen fundamentalen Datenschutzskandal so weit runterzuspielen, ist ein Glanzleistung von Meta! Was andererseits sichtbar wird, wie gefährlich es ist, wenn so viele Daten an einer Stelle zusammenkommen. Ob und wie viel Daten vorher zu anderem Zweck abgegriffen wurden, ist nicht bekannt, auch nicht, ob Meta diese Daten zum Beispiel an Palantir oder ClearView AI ganz legal verkauft hat.

Wir in Europa schwächen unsere gesetzlichen Vorgaben und schieben den Rohstoff, aus dem die digitalen Träume wahr und zu barer Münze werden, kostenfrei nach Nordamerika. Gleichzeitig hören wir Politiker von Souveränität sprechen, die so viel IT-Kenntnis haben, wie auf einen Bierdeckel passt. Aber da komme ich noch zu, nächste Woche, dann aber gleich am Montag, fürderhin auch.

Welche Folgen hat das Spiel der Wiener Forscher für WhatsApp? Gar keine! Oder löschst Du jetzt Dein WhatsApp-Konto? Nöh, die anderen sind ja auch noch da, außerdem hast Du nichts zu verstecken. Stimmt – was hindert Dich also daran, beim nächsten Shopping nackt durch die Einkaufsmeile zu schlendern? Ach ne, das ist Dir peinlich? Nur weil Du nicht weißt, wo Du Dein Handy hinstecken sollst? Dann denk mal nach….

Über Christian Wolf:

Avatar-FotoChristian Wolf (M.A.) ist Autor, Filmschaffender, Medienberater, ext. Datenschutzbeauftragter. Geisteswissenschaftliches Studium (Publizistik, Kulturanthropologie, Geografie), freie Tätigkeiten Fernsehen (RTL, WDR etc.) mit Abstechern in Krisengebiete, Bundestag Bonn und Berlin, Dozent DW Berlin (FS), Industriefilme (Würth, Aral u.v.m), wissenschaftliche und künstlerische Filmprojekte, Projekte zur Netzwerksicherheit, Cloudlösungen. Keine Internetpräsenz, ein Bug? Nein, Feature. (Digitalpurist)