Über WhatsApps jüngstes Datenleck

Monitor displaying binary code with an infinity-shaped data stream looping outward.

Diese Woche haben diverse Medien berichtet, dass bei WhatsApp im grossen Stil Nutzerdaten abgegriffen wurden. Vom «grössten Datenleck» der Geschichte war die Rede – die Sache sei noch übler, als man meinen würde, hiess es. Wir sehen das etwas anders. Eine kurze Einordnung.

Die Ausgangslage

Österreichische Forscher haben ein Programm geschrieben, das alle möglichen Telefonnummern durchläuft und von jeder prüft, ob sie mit einem WhatsApp-Benutzerkonto verknüpft ist. Wenn dem so ist, speichert das Programm neben der Telefonnummer auch die dazugehörigen Profildaten (das Profilbild und den Text aus dem «Info»-Feld), sofern diese Daten öffentlich sind.

Dadurch entsteht ein komplettes Verzeichnis aller Telefonnummern, die mit einem WhatsApp-Benutzerkonto verknüpft sind, inkl. den öffentlichen Profildaten.

Die Probleme

Gemäss Medienberichten sind mit der Generierung dieses Benutzerverzeichnisses folgende unliebsamen und aus Datenschutz-Sicht bedenklichen Konsequenzen verbunden:

  1. Das generierte Benutzerverzeichnis gibt mehr über WhatsApp preis, als Meta – aus wettbewerblichen und regulatorischen Gründen – lieb ist: zum Beispiel, wie viele Personen und Unternehmen pro Land WhatsApp verwenden oder wie gross die Nutzerabwanderung ist.

  2. Das Verzeichnis legt persönliche Informationen offen. Stichproben zufolge ist in rund zwei Dritteln der öffentlichen Profildaten ein menschliches Gesicht als Profilbild hinterlegt, und in «Info»-Feldern kommen bisweilen E-Mail-Adressen oder andere personenbezogene Daten bzw. Hinweise auf die Identität der betreffenden Nutzer vor.

  3. Die geleakten Informationen können lebensbedrohlich sein. Wenn sich in Ländern, in denen WhatsApp verboten ist, durch die Behörden ermitteln lässt, wer illegalerweise WhatsApp verwendet, sind die Folgen u.U. drastisch.

Einordnung der Probleme

  1. Das generierte Benutzerverzeichnis liefert bestimmt wesentlich detailliertere Informationen über Metas Messaging-Plattform, als z.B. aus App-Store-Charts oder ähnlichen Quellen zu lesen ist. Dieses Problem betrifft aber nicht den Datenschutz der Nutzer, zumal es sich um Informationen über die Plattform als Ganzes, nicht um solche über einzelne Personen handelt.

  2. Es ist wichtig, zu betonen, dass die abgegriffenen Profildaten allesamt öffentlich waren. Wenn ein WhatsApp-Nutzer sein «Info»-Feld allen zugänglich macht, kann es von jedermann eingesehen (und potenziell gespeichert) werden – das ist nicht unerwartet. Offenbar haben rund 30% aller WhatsApp-Benutzer ein öffentliches «Info»-Feld, bei den anderen 70% war es nicht möglich, den «Info»-Text abzugreifen.

    Weil WhatsApp die Telefonnummer als Adressierungselement verwendet, ist auch nicht unerwartet, dass es von jeder einzelnen Telefonnummer möglich sein muss, zu eruieren, ob ein WhatsApp-Benutzerkonto damit verbunden ist oder nicht. Andernfalls wäre nicht möglich, Kontakte in WhatsApp hinzuzufügen.

    Vor diesem Hintergrund ist etwas irreführend, von einem «Datenleck» zu sprechen. Was vorliegt, ist klassisches «Scraping»: Den Forschern ist gelungen, systematisch öffentliche Informationen zu exportieren.

    Trotzdem stellt das generierte Benutzerverzeichnis aus Datenschutz-Sicht ein Problem dar. Wie erwähnt, ist in rund zwei Dritteln der öffentlichen Profilbilder ein Gesicht zu erkennen. Wenn also das Gesicht einer Person bekannt ist, lässt sich potenziell mittels Gesichtserkennungssoftware das Verzeichnis durchsuchen, um die Telefonnummer der betreffenden Person zu ermitteln.

  3. Dieser Punkt ist der heikelste. Zweifellos ist äusserst besorgniserregend, wenn Behörden totalitärer Staaten Zugang zu einem Verzeichnis der Telefonnummern aller WhatsApp-Nutzer erhalten.

    Allerdings ist die Verwendung von WhatsApp in so einem Szenario von vornherein nicht ratsam. Wie jeder Anbieter, muss WhatsApp die Telefonnummer der Benutzer mittels einer SMS-Nachricht verifizieren. SMS-Nachrichten sind jedoch nicht Ende-zu-Ende-verschlüsselt, und in totalitären Staaten ist davon auszugehen, dass dieser Kommunikationskanal überwacht wird.

    Folglich können Behörden bereits bei der Registrierung erfahren, dass eine Telefonnummer mit einem WhatsApp-Benutzerkonto verbunden wird – ein periodisches Scraping ist dazu nicht erforderlich.

Fazit – Das eigentliche Problem

Wie dargelegt, ist etwas überzogen, im vorliegenden Fall von einem «Datenleck» zu sprechen. Wenn Benutzer Angaben öffentlich publizieren, liegt in der Natur der Sache, dass jedermann sie einsehen und potenziell speichern kann. Möglicherweise war aber vielen Benutzern gar nicht bewusst, was die Privatsphäre-Einstellungen für Auswirkungen haben.

Grundsätzlich ist alles andere als ideal, wenn Profildaten auf einem Server gespeichert sind und sich systematisch abfragen lassen. In Threema werden Profilbilder stattdessen «direkt» von Nutzer zu Nutzer übertragen, was Scraping der Profilbilder von vornherein verunmöglicht. Zudem gibt es gar keine Einstellung, die Unbekannten Einsicht ins Profilbild erlaubt.

Auch wenn es sich im Wesentlichen «nur» um Scraping handelt, ist höchst bedenklich und ebenso überraschend wie besorgniserregend, dass Meta keine griffigen Mechanismen eingesetzt hat, um Scraping auf diesem Niveau zu unterbinden.

Selbst die besten Anti-Scraping-Mechanismen verhindern allerdings nicht, dass von jeder einzelnen Telefonnummer ermittelt werden kann, ob ein WhatsApp-Benutzerkonto damit verbunden ist oder nicht. So wurde z.B. bekannt, dass Mark Zuckerberg die Signal-App nutzt, als ein Sicherheitsforscher seine private Telefonnummer publik machte.

Das zeigt, worin das eigentliche, strukturelle Problem liegt: in der Verwendung der Telefonnummer als Identifikationsmerkmal. Telefonnummern sind aus einer ganzen Zeile von Gründen datenschutztechnisch ungeeignete Adressierungselemente:

  • Sie lassen sich nicht ohne weiteres ändern (z.B. nach einem Datenleck).

  • Sie geben grundsätzlich Aufschluss darüber, welchem Land sie angehören.

  • Sie sind nicht anonym bzw. ist in vielen Ländern erforderlich, sich bei der Registrierung amtlich auszuweisen.

  • Wenn verschiedene Plattformen die Angabe der Telefonnummer erfordern, lassen sich Nutzer über diese Plattformen hinweg identifizieren.

  • Es ist u.U. möglich, die Telefonnummer eines früheren Benutzers zu erhalten, was diverse unerwünschte Folgen haben kann.

Aus diesen Gründen setzt Threema bewusst keine Angabe einer Telefonnummer voraus und verwendet eine zufällige Zeichenfolge als Adressierungselement. Die Threema-ID ist völlig anonym und lässt sich jederzeit widerrufen.

Follow us

Threema

Made in Switzerland © 2025 Threema GmbH.

swiss made software + swiss hosting swiss digital services Association for Corporate Data Protection