Forscher melden WhatsApp-Sicherheitslücke: Über die Webversion ließen sich Telefonnummern von 3,5 Milliarden Nutzern samt Profilinfos automatisiert abfragen.
© E. Vartanyan
Österreichische Forschende berichten, sie hätten ein gravierendes Problem bei WhatsApp aufgedeckt: Der Dienst ermöglichte de facto jedem, die Telefonnummern der gesamten Nutzerschaft von 3,5 Milliarden Menschen abzugreifen. Die Einstiegshürde war bemerkenswert niedrig: Es brauchte keinen Einbruch, simple, mechanische Nummernchecks über die Webversion reichten aus.
WhatsApp ist so gebaut, dass zum Auffinden eines Kontakts die Eingabe einer Telefonnummer genügt. Das System zeigt unmittelbar an, ob die Person registriert ist, und blendet alle öffentlich gemachten Profilangaben ein. Genau diese alltägliche Abfrage skalierten die Forschenden hoch, automatisierten sie und prüften so Millionen Nummern pro Stunde.
In ihrem Experiment sammelten sie die Nummern aller Nutzerinnen und Nutzer und riefen zusätzlich bei rund 57 % der Accounts die Profilfotos ab; bei etwa 29 % waren auch Text-Statusmeldungen sichtbar—im Kern alles, was Menschen öffentlich stehen gelassen hatten.
Das Problem schwelte über Jahre: Hinweise auf eine ähnliche Schwachstelle erreichten die Entwickler bereits 2017, dennoch führte WhatsApp eine Begrenzung der Abfragen erst im Oktober 2025 ein—viele Jahre, in denen Nutzer potenziell exponiert waren. Für eine Plattform dieser Größenordnung kam die Korrektur auffällig spät.
Die Entwickler betonten, es handle sich um grundlegende, ohnehin öffentliche Informationen, sichtbar nur in dem Umfang, den die Nutzer freigegeben hätten. Außerdem erklärten sie, es gebe keine Hinweise auf eine gezielte Ausnutzung der Schwäche; die Forschenden hätten auf keine privaten Daten zugegriffen.