Wiener Forscher decken massive WhatsApp-Datenschutzlücke auf

Informatikerinnen der Universität Wien und SBA Research haben eine gravierende Schwachstelle im Contact-Discovery-Mechanismus von WhatsApp entdeckt, die globale Nutzerinnen-Enumeration ermöglichte. Durch extrem hohe Abfrageraten konnten die Forschenden mehr als 3,5 Milliarden aktive WhatsApp-Konten weltweit identifizieren, inklusive Metadaten wie Telefonnummer, öffentlicher Schlüssel, Zeitstempel und – sofern freigegeben – Profilbild oder About-Text.

Die Lücke erlaubte Abfragen von über 100 Millionen Telefonnummern pro Stunde und betraf auch Länder, in denen WhatsApp offiziell verboten ist. Zudem zeigten die Analysen Einblicke in weltweite Nutzungsgewohnheiten, Geräteverteilung (81 % Android, 19 % iOS) sowie Hinweise auf vereinzelt wiederverwendete kryptografische Schlüssel.

WhatsApp hat die Schwachstelle nach verantwortungsvoller Meldung geschlossen und zusätzliche Schutzmaßnahmen wie strengeres Rate-Limiting eingezogen. Nachrichteninhalte waren durch Ende-zu-Ende-Verschlüsselung zu keinem Zeitpunkt betroffen. Die vollständige Studie wird 2026 auf dem NDSS Symposium vorgestellt.

Related Posts

Hackerangriff auf Jaguar Land Rover richtet 2,2 Mrd Euro Schaden an

Der massive Cyberangriff auf Jaguar Land Rover (JLR) hat den britischen Autobauer über sechs Wochen vollständig lahmgelegt und gilt laut dem Cyber Monitoring Centre (CMC) als „der wirtschaftlich schädlichste Cybervorfall in der britischen Geschichte“. Der geschätzte Gesamtschaden für die britische Volkswirtschaft beträgt rund 1,9 Milliarden Pfund (2,2 Milliarden Euro), wie die FAZ berichtet.

Read More

Riesiges Datenleck bei Hotelsoftware: Millionen Gästedaten offen im Netz

Ein massives Sicherheitsleck bei der Hotelverwaltungssoftware des Anbieters Gubse AG hat Millionen Gästedaten offengelegt – darunter auch sensible Informationen von Bundestagsabgeordneten. Betroffen sind unter anderem Hotels der Kette Motel One sowie mehrere DJH-Jugendherbergen.

Read More

Avnet bestätigt Datenleck – gestohlene Daten laut Unternehmen unlesbar

Der US-Elektronikdistributor Avnet hat einen Cybervorfall bestätigt, bei dem Angreifer unbefugt auf eine extern gehostete Datenbank im EMEA-Raum zugriffen. Laut Unternehmensangaben wurden dabei Daten aus einem internen Vertriebssystem entwendet, die jedoch ohne spezielle Avnet-Tools nicht lesbar seien.

Read More