3,5 Milliarden Konten sichtbar 18.11.2025, 17:03 Uhr

Die Geschichte hinter dem größten WhatsApp-Datenleck aller Zeiten

Wie Forschende eine WhatsApp-Lücke fanden, die 3,5 Milliarden Konten sichtbar machte – und was das für Ihren Datenschutz bedeutet.

WhatsApp gehackt

Studie zeigt massive WhatsApp-Schwachstelle: Forschende identifizieren 3,5 Milliarden Konten. Was das Leck über Metadaten verrät.

Foto: Smarterpix / Daniel.Constante

Es klingt wie der Plot eines Tech-Thrillers: Ein kleines Team an der Universität Wien stößt auf eine technische Lücke, die so massiv ist, dass es theoretisch jeden WhatsApp-Account der Welt identifizieren kann. Kein Zugriff auf Nachrichten, kein Hacken von Servern – und trotzdem die wohl umfangreichste Bestandsaufnahme aller aktiven Konten, die es je gab.

Die Lücke ist inzwischen geschlossen. Doch die Geschichte dahinter zeigt, wie fragil selbst weit verbreitete Dienste sein können.

Inhaltsverzeichnis

Ein unscheinbarer Mechanismus mit enormer Wirkung

WhatsApp nutzt einen sogenannten „Contact Discovery“-Mechanismus. Die Idee klingt harmlos: Die App prüft die Telefonnummern in Ihrem Adressbuch und zeigt Ihnen, wer von Ihren Kontakten WhatsApp nutzt.

Stellenangebote im Bereich IT/TK-Projektmanagement

IT/TK-Projektmanagement Jobs
VIAVI Solutions GmbH-Firmenlogo
Graduate Rotational Program - Entwicklungsingenieur (FPGA / KI) (w/m/d) VIAVI Solutions GmbH
Eningen unter Achalm Zum Job 
OCS Optical Control Systems GmbH-Firmenlogo
Entwicklungsingenieure (m/w/d) für die Bildverarbeitung & Softwareentwicklung OCS Optical Control Systems GmbH
Witten Zum Job 
DNV-Firmenlogo
(Senior) Consultant for Digital System Operation (f/m/d) DNV
Dresden, Schönefeld Zum Job 
RHEINMETALL AG-Firmenlogo
Verstärkung für unsere technischen Projekte im Bereich Engineering und IT (m/w/d) RHEINMETALL AG
deutschlandweit Zum Job 
Sanofi-Aventis Deutschland GmbH-Firmenlogo
Trainee Manufacturing & Supply (all genders) Sanofi-Aventis Deutschland GmbH
Frankfurt Zum Job 
IMS Röntgensysteme GmbH-Firmenlogo
Entwicklungsingenieur (m/w/i) für digitale Inspektionssysteme IMS Röntgensysteme GmbH
Heiligenhaus Zum Job 
FRITZ!-Firmenlogo
Entwicklungsingenieur für Produktionstestsysteme (w/m/d) FRITZ!
Berlin Zum Job 
THD - Technische Hochschule Deggendorf-Firmenlogo
Professorin | Professor (m/w/d) für das Lehrgebiet Robotik THD - Technische Hochschule Deggendorf
Cham Zum Job 
DB InfraGO AG-Firmenlogo
Teilprojektleiter:in Ausrüstungstechnik (w/m/d) DB InfraGO AG
Hamburg Zum Job 
Hochschule Düsseldorf University of Applied Sciences-Firmenlogo
Professur (W2) "Wirtschaftsinformatik und Datenbanken mit dem Schwerpunkt IT-Venture-Design, Digital Enterprise und innovativer Lehre in Makerspace-Settings" Hochschule Düsseldorf University of Applied Sciences
Düsseldorf Zum Job 

Damit das klappt, müssen Telefonnummern an den WhatsApp-Server übermittelt werden. Normalerweise geschieht das in kleinen Mengen. Ein paar Nummern hier, ein paar Nummern dort – so soll es eigentlich sein.

Doch genau hier fanden die Wiener Forschenden ein Einfallstor.

Wenn eine Schutzmaßnahme fehlt

Der Hauptautor Gabriel Gegenhuber erklärt den Kern des Problems: „Üblicherweise sollten nicht so viele Anfragen in so kurzer Zeit und von einer Quelle bzw. von einem Server beantwortet werden. Darin lag die Sicherheitslücke, denn wir konnten quasi unbegrenzte Anfragen an den Server stellen und so schließlich eine weltweite Erhebung machen.“

Was war passiert?

WhatsApp begrenzte nicht strikt, wie viele Nummern pro Stunde abgefragt werden konnten. Und das Team nutzte diese Lücke – im Rahmen verantwortungsvoller Offenlegung – für ein groß angelegtes Experiment. Mithilfe eines automatisierten Systems konnten mehr als 100 Millionen Telefonnummern pro Stunde durchlaufen werden. Am Ende standen 3,5 Milliarden bestätigte WhatsApp-Konten aus 245 Ländern.

Ein Ergebnis, das eigentlich nie möglich sein sollte.

Welche Daten sichtbar wurden

Wichtig: Die Inhalte der Chats blieben zu jedem Zeitpunkt geschützt.
WhatsApp nutzt Ende-zu-Ende-Verschlüsselung. Nachrichteninhalte konnten nicht abgefangen oder entschlüsselt werden.

Aber Metadaten – also die Daten rund um die Kommunikation – sind etwas anderes. Und die Wiener Studie zeigt, wie viel sie verraten können, wenn man sie massenhaft sammelt.

Folgende Datenpunkte konnten identifiziert werden:

  • Telefonnummern
  • öffentliche Schlüssel
  • Zeitstempel
  • freiwillig öffentliche Angaben wie Profilbild oder „About“-Texte

Diese Datenschnipsel reichten aus, um weiterführende Merkmale abzuleiten – etwa:

  • verwendetes Betriebssystem
  • Alter des WhatsApp-Kontos
  • Anzahl verbundener Geräte (z. B. WhatsApp Web)

Damit konnten die Forschenden weltweite Trends abbilden, die weit über das hinausgehen, was eigentlich sichtbar sein sollte.

Auch interessant:
WhatsApp-Bilder können Samsung-Smartphones infizieren
Sicherheitslücke

WhatsApp-Bilder können Samsung-Smartphones infizieren

WhatsApp-Tricks: 25 Funktionen einfach erklärt
Praktische Tipps für Ihren Messenger

WhatsApp-Tricks: 25 Funktionen einfach erklärt

Was die Daten verrieten

Die Auswertung brachte überraschende Muster ans Licht. Einige Beispiele:

  • Aktive WhatsApp-Nutzung in Ländern, in denen die App offiziell verboten ist, darunter China, Iran und Myanmar.
  • Ein globales Verhältnis von 81 % Android zu 19 % iOS, mit starken regionalen Schwankungen.
  • Unterschiedliche Vorlieben beim Datenschutz: Manche Regionen nutzen kaum Profilbilder, andere zeigen viel.
  • Vereinzelt tauchten wiederverwendete kryptografische Schlüssel auf – ein Hinweis auf inoffizielle Clients oder betrügerische Nutzung.
  • Fast 50 % der Telefonnummern aus dem Facebook-Datenleck von 2021 waren weiterhin auf WhatsApp aktiv. Damit steigt das Risiko für Spam oder Scam-Anrufe.

Warum Metadaten nicht harmlos sind

Aljosha Judmayer, Letztautor der Studie, erläutert:  „Diese Ende-zu-Ende-Verschlüsselung schützt den Inhalt von Nachrichten, aber nicht unbedingt die damit verbundenen Metadaten.“

Viele unterschätzen Metadaten. Doch sie sind ein mächtiges Werkzeug. Wer genug davon sammelt, kann Aktivitätsmuster erkennen, Profile abgleichen oder Nutzerinnen und Nutzer über Länder hinweg identifizieren.

WhatsApp reagiert – und bedankt sich sogar

WhatsApp schloss die Lücke nach der Meldung durch die Forschenden.
Unter anderem wurden:

  • stärkere Limits für Anfragen eingeführt
  • die Sichtbarkeit bestimmter Profilinformationen eingeschränkt
  • Anti-Scraping-Mechanismen verbessert

Nitin Gupta, Vice President of Engineering bei WhatsApp, erklärt dazu: „Wir sind den Forschern der Universität Wien für ihre verantwortungsvolle Partnerschaft und ihren Fleiß im Rahmen unseres Bug-Bounty-Programms dankbar.“

Er betont außerdem, dass die Forschenden die Daten sicher gelöscht hätten und keine Hinweise auf missbräuchliche Nutzung durch Dritte vorlagen.

Gabriel Gegenhuber fasst die Lage so zusammen: „Sie zeigen, dass Sicherheit und Datenschutz keine einmaligen Errungenschaften sind, sondern im Zuge der technologischen Entwicklung kontinuierlich neu bewertet werden müssen.“

Hier geht es zur Originalpublikation

Ein Beitrag von:

  • Dominik Hochwarth

    Redakteur beim VDI Verlag. Nach dem Studium absolvierte er eine Ausbildung zum Online-Redakteur, es folgten ein Volontariat und jeweils 10 Jahre als Webtexter für eine Internetagentur und einen Onlineshop. Seit September 2022 schreibt er für ingenieur.de.

Themen im Artikel

Empfehlung der Redaktion

Projektmanagement
Projektmanagement

Die 11 besten Projektmanagement-Tools
Stromkabel an B des Bitcoin
Kryptowährung

Bitcoin: Wie umweltschädlich ist die Kryptowährung wirklich?
Messenger-Dienst

WhatsApp-Tricks, die Sie noch nicht kannten
Bildbearbeitung

Photoshop und Lightroom: Diese Alternativen sollten Sie sich anschauen
Luftbildaufnahme von Tokio
Ranking

Die 10 größten Städte der Welt
Geschichte des Internets
Vom militärischem Experiment zur globalen Revolution

Blick auf die Geschichte des Internets

Ähnliche Artikel

Whatsapp
Sicherheitslücke

WhatsApp-Bilder können Samsung-Smartphones infizieren
Mädchen nutzt WhatsApp auf dem Handy
Praktische Tipps für Ihren Messenger

WhatsApp-Tricks: 25 Funktionen einfach erklärt
WhatsApp
Messenger

Gast-Chats: Plant WhatsApp neues Feature für Nicht-Nutzer?
Messenger als Desktop-Version

Whatsapp Web: So nutzen Sie den Messenger auf dem Desktop

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.

Jetzt anmelden

Auch auf dieser Seite werden Cookies verwendet. Wir können damit die Seitennutzung auswerten, um nutzungsbasiert redaktionelle Inhalte und Werbung anzuzeigen. Das ist für uns wichtig, denn unser Angebot finanziert sich über Werbung. Die Nutzung der Seite gilt als Zustimmung zur Cookie-Nutzung. Weitere Infos