Groeszte Daten Panne Jemals Der Whatsapp Fall

#3_500_000_000_customers #all_whatsapp_customers #57%_users_with_pictures #2_300_000_duplicated_keys #whatsapp #meta #data_leak #privacy

Die GRÖSSTE Datenpanne aller Zeiten – wenn Sie Messenger-Apps nutzen, könnte Sie das interessieren!

Forscher der Universität Wien und von SBA Research haben das gesamte WhatsApp-Verzeichnis abgefragt: 3,5 Milliarden – ja, richtig – 3_500_000_000 Konten. Dabei handelte es sich nicht um eine Verletzung von Chat-Inhalten, sondern um Metadaten von Konten wie Telefonnummern, Profilinformationen und öffentliche kryptografische Schlüssel. Meta erhielt ab September 2024 Warnungen und handelte etwa 12 Monate lang nicht, bis der öffentliche Druck zu groß wurde.

Man kann mit Fug und Recht sagen, dass sich alle WhatsApp- und Social-Media-Nutzer mit den Risiken der Nutzung von Social-Media- und Messaging-Apps vertraut machen sollten.

Das Unternehmen Meta hat über ein Jahr lang nicht reagiert – das ist kein kleines Upsi, sondern eine Missachtung von Datenschutzrichtlinien und aller Compliance-Richtlinien, die jemals existiert haben. Unternehmen unterliegen umfassenden Compliance-Verpflichtungen.

Daten wurden gesammelt

Durch die Datenpanne wurden mehrere Kategorien von Kontodaten offengelegt:

Telefonnummern: alle 3,5 Milliarden registrierten WhatsApp-Konten.
Profilbilder: 57 % der Nutzer hatten öffentliche Bilder; für +1 (Nordamerika) wurden Millionen von Bildern (Terabyte) für die Studie heruntergeladen.
Infofelder: ~30 % der Nutzer füllten diese aus, oft mit sensiblen Daten (politische Ansichten, sexuelle Orientierung, Drogenkonsum, Arbeitsplatz, Links zu Tinder/OnlyFans).
Öffentliche Schlüssel: alle Konten; 2,3 Millionen Schlüssel schienen auf verschiedenen Geräten doppelt vorhanden zu sein. Dies ist aus Sicht der Key Management (in Whatsapp implementiert) interessant.
Zeitstempel: letzte Änderungen an Profilbildern und Infofeldern.
Geräteanzahl: bis zu 5 Geräte pro Konto, wobei die IDs Stabilität oder Fluktuation offenbaren.

Tatsächliche Zahlen

Einige der Erkenntnisse sind wie folgt

3,5 Milliarden Konten = (fast) die gesamte WhatsApp-Nutzerbasis.
750 Millionen Nutzer in Indien, von denen 62 % sichtbare Profilbilder haben.
2,3 Millionen aktive Konten in China trotz eines Verbots.
60 Millionen Konten im Iran.
1,6 Millionen Konten in Myanmar
5 Konten in Nordkorea.
Eine halbe Million Profilbilder wurden untersucht → 2/3 enthielten menschliche Gesichter.
2 ungültige Signaturen von 3,5 Milliarden Schlüsseln (selten).
2,3 Millionen wiederverwendete Schlüssel, was zu einer potenziellen Gefährdung der Identität führen kann.

Verzögerte Reaktion

Die Warnungen begannen im September 2024. Meta bestätigte den Erhalt, unternahm jedoch ~12 Monate lang nichts. Nachdem Forscher die Publikation vorbereitet hatten, stufte Meta die Aktivität als „Scraping” ein und forderte die Löschung der Daten.

Versäumte Überwachung und Schutz

Es handelte sich hierbei nicht um einen „Hack”, sondern um einen Enumeration-Exploit, der die WhatsApp-eigene API zur Kontaktsuche missbraucht. Stellen Sie sich dies als eine umgekehrte Telefonbuchfunktion mit angehängten kryptografischen Metadaten vor. Die Probleme sind

Keine Ratenbegrenzung ermöglicht die Aufzählung und das Testen von >100 Millionen Konten/Stunde und Fehler bei der Kontaktsuche ermöglichte systematische Abfragen von Nummernbereichen.
Die Schlüsselverwaltung ermöglichte die Wiederverwendung von Schlüsseln, wenn sich Nummern oder Geräte änderten.
Die Standardeinstellungen für die Sichtbarkeit von Profilen machen exponierte Bilder weltweit sichtbar (57 % der Nutzer).
Feldmissbrauch aufgrund fehlender Moderation oder Warnungen bei sensiblen Offenlegungen.

Nutzer erkennen jetzt, wie sensibel Konto- und Metainformationen sind und wie leicht ein Angriff erfolgen kann. Diese Schwachstellen könnten seit Jahren ausgenutzt worden sein. Es bleibt die Frage, ob Untersuchungen durchgeführt werden und wie Unternehmen ihre Daten- und Datenschutzrichtlinien durchsetzen werden. Was denken Sie?

Referenzen (englisch sprachig)

‹»Windows 11 as an Agentic OS: Hype, Risks, and Questions« »BIGGEST data breach ever - concerning all WhatsApp accounts«›