Wissenschaftler der Universität Wien und SBA Research haben entdeckt, dass das komplette WhatsApp‑Nutzerverzeichnis ungeschützt im Internet zugänglich war.Ohne technische Hürden konnten sie über 3,5 Milliarden Telefonnummern, Profil‑Infos, öffentliche Schlüssel und weitere Metadaten herunterladen und damit der bislang größte Datenabfluss aller Zeiten aufdecken.
Zu den öffentlich einsehbaren Informationen gehören das Land, das Betriebssystem (Android bzw. iOS), der Status als Business‑Konto, bis zu fünf registrierte Geräte pro Account sowie das Datum der letzten Änderung von Profilfoto und „Info“-Feld.Rund 30 % der Nutzer haben im „Info“-Feld persönliche Angaben hinterlassen: von politischen oder religiösen Überzeugungen über sexuelle Orientierung bis hin zu Drogen‑ bzw. Waffenhinweisen und Links zu sozialen Netzwerken, Tinder oder OnlyFans. Viele Nutzer geben zudem E‑Mail‑Adressen an, darunter sogar Off‑Sec‑Domains wie bund.de, state.gov oder Adressen aus der .mil‑Zone.Besonders brisant ist die Tatsache, dass 57 % aller WhatsApp‑Nutzer weltweit ein öffentliches Profilbild hochgeladen haben. Alle 77 Millionen öffentlich einsehbaren Bilder des nordamerikanischen Vorwahlbereichs (+1) summieren sich auf etwa 3,8 Terabyte; in einer Stichprobe von 500 000 Bildern konnte eine Gesichtserkennungssoftware in zwei Dritteln ein menschliches Gesicht identifizieren. Durch Kombination von Bild‑ und Telefonnummern lässt sich so eine Datenbank aufbauen, die leicht für Doxxing, Phishing oder gezielte Übergriffe missbraucht werden könnte.Zudem zeigt sich, dass in Ländern mit WhatsApp‑Verbot (China, Iran, Myanmar, Nordkorea) Millionen aktiver Konten existieren. Dies könnte ein erhebliches Risiko für Personen darstellen, die bei einer staatlichen Entdeckung empfindliche Konsequenzen befürchten müssen.
Den Heise Artikel gibt es hier: https://www.heise.de/news/3-5-Milliarden-Konten-Komplettes-Whatsapp-Verzeichnis-abgerufen-und-ausgewertet-11082660.html
