Scraping: Daten von 3,5 Milliarden Whatsapp-Konten abgegriffen
Forscher der Universität Wien haben eine Sicherheitslücke entdeckt, mit der es ihnen möglich war, Daten von Whatsapp-Konten von Nutzern auf der ganzen Welt abzugreifen und auszuwerten. Die Rede ist von Milliarden betroffener Accounts. Laut Pressemeldung der Universität(öffnet im neuen Fenster) nutzten die Forscher dafür den Contact-Discovery-Mechanismus aus, mit dem Whatsapp-Nutzer andere Anwender über ihre Rufnummer auffinden.
Den Angaben zufolge ließen sich über diese Schnittstelle mehr als 100 Millionen Rufnummern pro Stunde abfragen. Es fehlte schlichtweg an einer Ratenbegrenzung, so dass der Whatsapp-Server die Abfrage der Daten uneingeschränkt ausführte. Effektiv gelangten die Forscher mittels Scraping an Daten von 3,5 Milliarden Whatsapp-Konten aus 245 Ländern und Regionen.
Auswertung der Whatsapp-Daten
Zu den erbeuteten Daten zählten laut Pressemeldung unter anderem Rufnummern, öffentliche Schlüssel und je nach Datenschutzeinstellung auch Profilbild und Profil-Info. Darüber hinaus soll es den Forschern möglich gewesen sein, weitere Rückschlüsse zu ziehen – etwa auf von den Nutzern verwendete Betriebssysteme, die Anzahl verbundener Geräte sowie das Alter des jeweiligen Whatsapp-Kontos.
Auch konnte das Forscherteam aus den Whatsapp-Daten die weltweite Verteilung von Android (81 Prozent) und iOS (19 Prozent) sowie regionale Unterschiede im Datenschutzverhalten ableiten. Zudem stellten die Forscher fest, dass fast die Hälfte aller Rufnummern aus dem Facebook-Datenleck von 2021 noch immer auf Whatsapp aktiv ist.
Explizit keinen Zugriff hatten die Forscher hingegen auf Nachrichteninhalte, die bei Whatsapp Ende-zu-Ende-verschlüsselt sind. Ferner versichert das Forscherteam, alle Daten nach der Untersuchung wieder gelöscht zu haben. Es seien keine persönlichen Daten von Whatsapp-Nutzern veröffentlicht oder weitergegeben worden, heißt es.
Meta bessert nach
Der Whatsapp-Mutterkonzern Meta bedankte sich bei den Forschern für ihren verantwortungsvollen Umgang mit ihrer Entdeckung sowie das Melden der Sicherheitslücke im Rahmen des Bug-Bounty-Programms des Konzerns. "Durch diese Zusammenarbeit konnte eine neuartige Aufzählungstechnik identifiziert werden, die unsere vorgesehenen Grenzen überschritt" , so Meta in einer Stellungnahme.
"Wir hatten bereits an branchenführenden Anti-Scraping-Systemen gearbeitet, und diese Studie war entscheidend für die Belastungsprüfung und die Bestätigung der unmittelbaren Wirksamkeit dieser neuen Abwehrmaßnahmen" , erklärte der Konzern weiter.
Hinweise darauf, dass Angreifer die Sicherheitslücke für böswillige Zwecke ausgenutzt hätten, gebe es bisher nicht. Wer sich für weitere Details zu der Untersuchung der Wiener Forscher interessiert, findet diese in einem auf Github veröffentlichten Paper(öffnet im neuen Fenster) .