Über WhatsApps jüngstes Datenleck

Monitor displaying binary code with an infinity-shaped data stream looping outward.

Diese Woche haben diverse Medien berichtet, dass bei WhatsApp im grossen Stil Nutzerdaten abgegriffen wurden. Vom «grössten Datenleck» der Geschichte war die Rede – die Sache sei noch übler, als man meinen würde, hiess es. Wir sehen das etwas anders. Eine kurze Einordnung.

Die Ausgangslage

Österreichische Forscher haben ein Programm geschrieben, das alle möglichen Telefonnummern durchläuft und von jeder prüft, ob sie mit einem WhatsApp-Benutzerkonto verknüpft ist. Wenn dem so ist, speichert das Programm neben der Telefonnummer auch die dazugehörigen Profildaten (das Profilbild und den Text aus dem «Info»-Feld), sofern diese Daten öffentlich sind.

Dadurch entsteht ein komplettes Verzeichnis aller Telefonnummern, die mit einem WhatsApp-Benutzerkonto verknüpft sind, inkl. den öffentlichen Profildaten.

Die Probleme

Gemäss Medienberichten sind mit der Generierung dieses Benutzerverzeichnisses folgende unliebsamen und aus Datenschutz-Sicht bedenklichen Konsequenzen verbunden:

  1. Das generierte Benutzerverzeichnis gibt mehr über WhatsApp preis, als Meta – aus wettbewerblichen und regulatorischen Gründen – lieb ist: zum Beispiel, wie viele Personen und Unternehmen pro Land WhatsApp verwenden oder wie gross die Nutzerabwanderung ist.

  2. Das Verzeichnis legt persönliche Informationen offen. Stichproben zufolge ist in rund zwei Dritteln der öffentlichen Profildaten ein menschliches Gesicht als Profilbild hinterlegt, und in «Info»-Feldern kommen bisweilen E-Mail-Adressen oder andere personenbezogene Daten bzw. Hinweise auf die Identität der betreffenden Nutzer vor.

  3. Die geleakten Informationen können lebensbedrohlich sein. Wenn sich in Ländern, in denen WhatsApp verboten ist, durch die Behörden ermitteln lässt, wer illegalerweise WhatsApp verwendet, sind die Folgen u.U. drastisch.

Einordnung der Probleme

  1. Das generierte Benutzerverzeichnis liefert bestimmt wesentlich detailliertere Informationen über Metas Messaging-Plattform, als z.B. aus App-Store-Charts oder ähnlichen Quellen zu lesen ist. Dieses Problem betrifft aber nicht den Datenschutz der Nutzer, zumal es sich um Informationen über die Plattform als Ganzes, nicht um solche über einzelne Personen handelt.

  2. Es ist wichtig, zu betonen, dass die abgegriffenen Profildaten allesamt öffentlich waren. Wenn ein WhatsApp-Nutzer sein Info-Feld allen zugänglich macht, kann es von jedermann eingesehen (und potenziell gespeichert) werden – das ist nicht unerwartet. Offenbar haben rund 30% aller WhatsApp-Benutzer ein öffentliches Info-Feld, bei den anderen 70% war es nicht möglich, den «Info»-Text abzugreifen.

    Weil WhatsApp die Telefonnummer als Adressierungselement verwendet, ist auch nicht unerwartet, dass es von jeder einzelnen Telefonnummer möglich sein muss, zu eruieren, ob ein WhatsApp-Benutzerkonto damit verbunden ist oder nicht. Andernfalls wäre nicht möglich, Kontakte in WhatsApp hinzuzufügen.

    Vor diesem Hintergrund ist etwas irreführend, von einem «Datenleck» zu sprechen. Was vorliegt, ist klassisches «Scraping»: Den Forschern ist gelungen, systematisch öffentliche Informationen zu exportieren.

    Trotzdem stellt das generierte Benutzerverzeichnis aus Datenschutz-Sicht ein Problem dar. Stichproben zufolge ist z.B. in zwei Dritteln der öffentlichen Profilbilder ein Gesicht zu erkennen. Wenn also das Gesicht einer Person bekannt ist, lässt sich potenziell mittels Gesichtserkennungssoftware das Verzeichnis durchsuchen, um die Telefonnummer der betreffenden Person zu ermitteln.

  3. Dieser Punkt ist der heikelste. Zweifellos ist äusserst bedenklich, wenn Behörden totalitärer Staaten Zugang zu einem Verzeichnis der Telefonnummern aller WhatsApp-Nutzer erhalten.

    Allerdings ist die Verwendung von WhatsApp in so einem Szenario von vornherein äusserst problematisch. Wie jeder Anbieter, muss WhatsApp die Telefonnummer der Benutzer mittels einer SMS-Nachricht verifizieren. SMS-Nachrichten sind jedoch nicht Ende-zu-Ende-verschlüsselt, und in totalitären Staaten ist davon auszugehen, dass dieser Kommunikationskanal überwacht wird.

    Folglich können Behörden bereits bei der Registrierung erfahren, dass eine Telefonnummer mit einem WhatsApp-Benutzerkonto verbunden wird, und es ist keine periodisches Scraping dazu erforderlich.

Fazit – Das eigentliche Problem

Wie dargelegt, ist es etwas überzogen, im vorliegenden Fall von einem «Datenleck» zu sprechen, da es sich um öffentlich zugängliche Informationen handelte. Wenn Benutzer Angaben öffentlich publizieren, liegt in der Natur der Sache, dass jedermann sie einsehen und potenziell speichern kann. Möglicherweise war aber vielen Benutzern gar nicht bewusst, was die Privatsphäre-Einstellungen konkret bedeuten.

Grundsätzlich ist alles andere als ideal, wenn Profildaten auf einem Server gespeichert sind und sich systematisch abfragen lassen. In Threema werden Profilbilder stattdessen «direkt» von Nutzer zu Nutzer übertragen, was Scraping der Profilbilder von vornherein verunmöglicht. Zudem gibt es gar keine Einstellung, die Unbekannten Einsicht ins Profilbild erlaubt.

Auch wenn es sich «nur» um Scraping handelt, ist höchst bedenklich, dass Meta keine griffigen Mechanismen eingesetzt hat, um Scraping auf diesem Niveau zu unterbinden.

Selbst die besten Anti-Scraping-Mechanismen verhindern allerdings nicht, dass von jeder einzelnen Telefonnummer ermittelt werden kann, ob ein WhatsApp-Benutzerkonto damit verbunden ist oder nicht. So wurde z.B. bekannt, dass Mark Zuckerberg die Signal-App nutzt, als ein Sicherheitsforscher seine private Telefonnummer publik machte.

Das zeigt, worin das eigentliche, strukturelle Problem liegt: in der Verwendung der Telefonnummer als Identifikationsmerkmal. Telefonnummern sind aus einer ganzen Zeile von Gründen datenschutztechnisch ungeeignete Adressierungselemente:

  • Sie lassen sich nicht ohne weiteres ändern (z.B. nach einem Leak).

  • Sie geben grundsätzlich Aufschluss darüber, welchem Land sie angehören.

  • Sie sind nicht anonym bzw. ist in vielen Ländern erforderlich, sich bei der Registrierung amtlich auszuweisen.

  • Wenn verschiedene Plattformen die Angabe der Telefonnummer erfordern, lassen sich Nutzer über diese Plattformen hinweg identifizieren.

  • Es ist u.U. möglich, die Telefonnummer eines früheren Benutzers zu erhalten, was eine ganze Reihe problematischer Folgen haben kann.

Aus diesen Gründen setzt Threema bewusst keine Angabe einer Telefonnummer voraus und verwendet eine zufällige Zeichenfolge (die Threema-ID) als Adressierungselement, die völlig anonym ist und sich jederzeit widerrufen lässt.

Follow us

Threema

Made in Switzerland © 2025 Threema GmbH.

swiss made software + swiss hosting swiss digital services Association for Corporate Data Protection