Wiener Forscher haben alle WhatsApp-Nummern abgerufen. Die 3,5 Milliarden Profile sind der größte Datenabfluss der Geschichte – und übler, als man meinen würde.

mehrere Klassen von Daten, die für Anwender ungemütlich bis lebensgefährlich sein können

So war WhatsApp Stand Dezember 2024 in der Volksrepublik China, im Iran, in Myanmar sowie in Nordkorea verboten. Dennoch fanden die Forscher damals 2,3 Millionen aktive WhatsApp-Konten in China, 60 Millionen im Iran, 1,6 Millionen in Myanmar und fünf (5) in Nordkorea. Diese Handvoll könnte vom Staatsapparat selbst eingerichtet worden sein, aber für Einwohner Chinas und Myanmars ist es höchst riskant, wenn Behörden von der illegalen WhatsApp-Nutzung Wind bekommen.

Annähernd 30 Prozent der User haben etwas in das “Info”-Feld ihres Profils eingetragen, und dabei geben manche viel preis: politische Einstellungen, sexuelle oder religiöse Orientierung, Bekenntnisse zu Drogenmissbrauch gibt es dort genauso wie Drogendealer, die genau in diesem Feld ihr Warensortiment anpreisen. Auch darüber hinaus fanden die Wiener Forscher Angaben zum Arbeitsplatz des Users bis zu Hyperlinks auf Profile in sozialen Netzwerken, bei Tinder oder OnlyFans. E-Mail-Adressen durften natürlich nicht fehlen, darunter von Domains wie bund.de, state.gov und diverse aus der .mil-Zone.

Für den Nordamerika-Vorwahlbereich +1 haben die Forscher alle 77 Millionen für jedermann einsehbaren Profilbilder heruntergeladen. (…) Die leichte Zugänglichkeit der Fotos hätte also erlaubt, eine Datenbank zusammenzustellen, die durch Gesichtserkennung in vielen Fällen zur Telefonnummer führt und umgekehrt.

Der Großteil der Schlüssel-Kopien (aber nicht alle) lässt sich durch die mangelnde Neuvergabe eines Profilschlüssels bei der Änderung der Telefonnummer zurückführen. Das ist kein Problem der IT-Sicherheit im engeren Sinne, aber ein Datenschutzproblem, weil sich so trotz Rufnummernwechsels die neue Telefonnummer einer Zielperson eruieren ließe. Das unterläuft unter Umständen den Zweck des Nummernwechsels.

Im Artikel wird außerdem ausführlich beschrieben, wie die Datenabfrage gelang. Dabei nutzten die Forschenden die Möglichkeit, WhatsApp Accounts mit dem Adressbuch abzugleichen:

Meta (erlaubte) den Abgleich von 7.000 Telefonnummern pro Sekunde und Instanz mittels XMP-Protokoll

Der Datensatz ließ andere Erhebungen zu, z.B.

In der DACH-Region entfallen auf Deutschland 74,6 Millionen WhatsApp-Konten (88 je 100 Einwohner)

In keinem Land haben die Forscher im Zeitraum Dezember 2024 bis März 2025 rückläufige Nutzerzahlen festgestellt.

Weltweit entfallen 81 Prozent der WhatsApp-Konten auf Android.

In Deutschland und Österreich sind 58 respektive 59 Prozent Android

Das im Artikel besprochene Paper: Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy