Das Ergebnis: Telefonnummern, Profilbilder, Statusmeldungen, Online-Zeiten, sogar Hinweise auf Spione, Drogendealer, Regierungsmitarbeiter, Militärprofile – und absurde Funde wie Preislisten für Koks, Gras und MDMA in WhatsApp-Statusfeldern. Ein Datenabfluss, wie ihn die Welt noch nie gesehen hat.
Meta reagierte erst, als die Forscher mit einer unkontrollierten Veröffentlichung drohten. Ein Jahr lang wurde geschwiegen, abgewiegelt oder Tickets einfach geschlossen – während Kriminelle, Geheimdienste und Werbefirmen theoretisch Zugriff auf einen der größten offenen Datenspeicher der digitalen Ära gehabt hätten.
Wie konnte so etwas passieren? – ohne Hack, ohne Trick, nur mit Bordmitteln! Die simple Schwachstelle hinter dem Mega-Leak
Die Lücke steckt in einem eigentlich harmlosen Feature, das jeder täglich nutzt: Contact Discovery.
Wer WhatsApp öffnet, erlaubt der App, nachzuschauen, welche Kontakte ebenfalls WhatsApp nutzen. Dazu fragt WhatsApp jede Telefonnummer einzeln ab – und liefert im Erfolgsfall zurück:
- „Ja, dieser Account existiert“
- Profilbild (wenn sichtbar)
- Info-Text / Status
- Online-Status
- Weitere Metadaten
Die Forscher aus Wien nutzten genau diese Funktion – im industriellen Maßstab.
Sie ließen ein Skript 68 Milliarden Nummern testen. WhatsApp antwortete bereitwillig – mit 7000 Treffern pro Sekunde. Ohne Blockierung. Ohne Captcha. Ohne Limit. Nicht einmal die IP-Adresse mussten sie wechseln.
Über 100 Millionen Abfragen pro Stunde waren möglich.
Das Resultat: eine vollständige Volkszählung der globalen WhatsApp-Nutzer.
Wichtig: Die verschlüsselten Chatnachrichten selbst waren NICHT einsehbar. Die Ende-zu-Ende-Verschlüsselung blieb intakt.
Doch die Metadaten – also Profilbilder, Info-Text, Online-Zeiten, Bildbeschreibungen, Status-Infos – lagen offen da wie ein digitaler Lebenslauf.
Und genau diese Daten können für Betrug noch gefährlicher sein als ein einzelner Chatverlauf.
Brisante Funde: Von Drogendealern bis zum US-Verteidigungsminister
Was sich in den Daten versteckte, lässt Experten heute noch fassungslos zurück.
1. Drogenhändler nutzten WhatsApp wie ein digitales Schaufenster
Die Forscher fanden Profiltexte wie:
„Coke, Weed, Hash, Ketamin, XTC – Preisliste siehe Status.“
Echte Preislisten. Öffentliche Kontaktinfos. Für jeden abrufbar.
2. Hinweise auf Spione und Regierungsmitarbeiter
In den frei zugänglichen Profilbildern tauchten überraschend viele hochrangige Regierungs- und Militärprofile auf – darunter:
- Berater des US-Verteidigungsministeriums
- Regierungsaccounts aus Europa
- Nutzer mit Verbindungen zu Geheimdiensten
Über Profilbild + Nummer lassen sich solche Personen eindeutig identifizieren.
3. Millionen Nutzer in verbotenen Ländern
Dazu kamen Millionen Nutzer aus Ländern, in denen WhatsApp verboten oder stark eingeschränkt war. Besonders heikel: 60 Millionen Iraner, die die App trotz Verbot nutzten – und nun im Datensatz auftauchen. In Nordkorea fanden die Forscher sogar fünf aktive Nutzer. Ein Fund, der für die Betroffenen im schlimmsten Fall lebensbedrohlich sein könnte.
4. Profilbilder als Risikoquelle
In 57 Prozent aller Fälle konnten Profilbilder heruntergeladen werden – oft mit Gesichtern.
Für KI-Gesichtserkennung ein idealer Ansatzpunkt, um:
- Namen und Nummern zu verbinden
- Personen zu identifizieren
- Deepfake-Betrug vorzubereiten (z. B. Enkeltrick 2.0)
Warum Meta erst spät reagierte – und warum das ein Skandal ist
Die Forscher meldeten Meta die Schwachstelle erstmals 2024.
Antwort: Ein Ticket. Dann Stille.
Im Frühjahr 2025 meldeten sie erneut.
Antwort: Ticket geschlossen – „Problem nicht relevant“.
Erst als die Wissenschaftler mit einer unkontrollierten Veröffentlichung drohten, reagierte der Konzern – ein Jahr nach der ersten Meldung.
Kritik kommt nicht nur aus der Sicherheitsforschung:
Juristen werfen Meta vor, serverseitig nahezu alle Schutzmechanismen verpennt zu haben. Keine Limits, keine Sperren, keine Erkennung verdächtiger Abfragen.
Das Ergebnis: ein beispielloser Datenabfluss, der Kriminelle weltweit mit frischen Telefonnummern, Profilbildern und Identitätsbausteinen versorgt hat.
Was bedeutet das für Nutzer? Die realen Gefahren hinter dem Mega-Leak
Viele denken: „Solange niemand meine Nachrichten lesen kann, bin ich sicher.“
Doch genau das ist der Trugschluss. Zwar blieben alle Chats dank Ende-zu-Ende-Verschlüsselung geschützt, aber die Metadaten verraten oft mehr über uns als jede einzelne Nachricht.
Ein Profilbild, ein kurzer Statusspruch, die genaue Online-Zeit, ein politisches Statement oder ein religiöses Zitat – zusammen mit einer Telefonnummer ergeben sie ein präzises Persönlichkeitsprofil, das Kriminellen Tür und Tor öffnet. Besonders gefährlich wird es, wenn diese Daten mit früheren Hacks (E-Mails, Adressen, Passwörter) kombiniert werden.
So entstehen digitale Identitäten, die sich für nahezu jede Betrugsmasche missbrauchen lassen. KI-Stimmen können Angehörige täuschend echt imitieren, falsche Bankberater klingen plötzlich glaubwürdig, und durch die Telefonnummer lassen sich Accounts leichter kapern. Selbst klassische Betrugsmodelle wie Romance-Scams oder Erpressungsversuche werden dadurch deutlich einfacher.
Die Forscher fanden zudem alarmierende Hinweise auf professionelle Betrugsfabriken in Myanmar und Nigeria. Dort werden offenbar manipulierte Geräte genutzt, die tausende WhatsApp-Accounts gleichzeitig steuern. Millionen kryptografischer Schlüssel tauchten im Datensatz doppelt auf – ein eindeutiges Zeichen für industrielle Scams, die im Akkord Opfer suchen.
Warum diese Metadaten gefährlicher sind als ein gehackter Chatverlauf
Chatnachrichten bleiben verschlüsselt – das ist die gute Nachricht.
Die schlechte: Metadaten reichen aus, um Nutzer gezielt anzugreifen.
- Identitätsdiebstahl & Phishing:
Mit Nummer und Profilbild wirken Betrugsnachrichten sofort glaubwürdig. - Spam und Robo-Calls:
Fake-Paket-SMS, angebliche Behördenanrufe, dubiose Investmentversprechen – viele Nutzer berichten bereits von einer massiven Zunahme. - Missbrauch in Scam-Fabriken:
Tausende Accounts werden automatisiert gesteuert, um Menschen systematisch auszunehmen. - Zero-Click-Angriffe:
In seltenen Fällen kann Schadsoftware zugestellt werden, ohne dass der Nutzer etwas anklickt – besonders, wenn Angreifer Telefonnummer und Gerätetyp kennen.
Kurz gesagt: Nicht die Chats sind das Problem – sondern alles, was WhatsApp sonst noch über Sie preisgibt.
So schützen Sie sich jetzt – Experten raten zu Sofortmaßnahmen
1. Zwei-Faktor-Authentifizierung aktivieren (Pflicht!)
Einstellungen → Konto → Zwei-Schritt-Verifizierung
2. Profil unsichtbar machen
Einstellungen → Datenschutz:
- Profilbild: Nur Kontakte
- Info: Nur Kontakte
- Zuletzt online: Niemand
- Online-Status: Verbergen
3. Anrufe von Unbekannten stumm schalten
Ebenfalls im Datenschutzmenü verfügbar.
4. Keine Links von Unbekannten öffnen
Phishing-Nachrichten nehmen aktuell deutlich zu.
5. WhatsApp und Smartphone aktualisieren
Insbesondere Android-Nutzer sind stärker gefährdet.
Fazit: Das Datenleck wird WhatsApp und Meta noch lange verfolgen
WhatsApp bleibt verschlüsselt – aber unsichtbar war es nie. Dieses Leck zeigt, wie gefährlich Metadaten sein können: Telefonnummer, Profilbild, Online-Zeit und „Info“-Sprüche reichen aus, um weltweit Identitäten zu verknüpfen, sensible Personen zu enttarnen und Nutzer gezielt anzugreifen.
Ein Datenabfluss dieser Größenordnung ist beispiellos in der Geschichte der Menschheit.
Und die Folgen werden uns vermutlich jahrelang begleiten.
