Darum gehts
- Whatsapp-Schwachstelle ermöglicht Zugriff auf Milliarden Nutzerprofile weltweit
- Forscher identifizierten 3,5 Milliarden aktive Whatsapp-Konten und sammelten Daten
- In der Schweiz nutzen 8,4 Mio. Menschen Whatsapp, rund 93 Prozent der Bevölkerung
Ein einfacher Mechanismus wurde zur Datenschleuder! Jeder kennt es: Man öffnet Whatsapp, gibt eine unbekannte Nummer ein und sieht dann sofort das Profilfoto der Person. Praktisch. Doch genau diese Funktion hat eine fatale Schwachstelle: Sie liess sich beliebig oft ausführen.
Wiener Forschende nutzten dies aus und konnten so pro Stunde über 100 Millionen Telefonnummern abgreifen, ohne dass sie von Whatsapp ausgebremst wurden. Das Ergebnis: Sie identifizierten alle 3,5 Milliarden aktiven Whatsapp-Konten weltweit, darunter auch 8,4 Millionen aus der Schweiz. Selbst das sonst eher zurückhaltende Fachmagazin «Heise» spricht vom «grössten Datenabfluss der Geschichte».
Diese Daten lagen offen
Die Wiener Forscher erhielten dabei nicht nur Telefonnummern. Wer sein Profilfoto oder seinen Statustext öffentlich eingestellt hat, gab deutlich mehr von sich preis. In den Daten fanden sich: politische Einstellungen, religiöse Bekenntnisse, Links zu Dating-Profilen, ja sogar E-Mail-Adressen von Regierungsmitarbeitern.
Bei nordamerikanischen Nummern luden die Wissenschaftler 77 Millionen Profilfotos herunter, insgesamt 3,8 Terabyte Bildmaterial. Eine Gesichtserkennungssoftware fand in zwei Dritteln der Bilder menschliche Gesichter. Damit liesse sich ein Suchsystem bauen: Foto eingeben, Telefonnummer erhalten, oder umgekehrt, schreibt «Heise».
Die Studie zeigt: In der Schweiz gibt es 8,4 Millionen aktive Whatsapp-Konten. Sprich: Rund 93 Prozent der Bevölkerung hat ein Konto, es ist eine der höchsten Raten pro Kopf weltweit. Die Schweizerinnen und Schweizer machen 0,24 Prozent aller Konten weltweit aus. 58 Prozent der hiesigen Nutzerinnen und Nutzer haben ihr Profilbild für alle zugänglich gemacht. 57 Prozent nutzen den Messenger auf einem iOS-Gerät. Der Wert liegt deutlich höher als im Rest von Europa (iOS: 36 Prozent). 43 Prozent in der Schweiz chatten mit Whatsapp auf ihrem Android-Handy. Rund drei Prozent der Konten sind als Business-Accounts markiert. Die Forscher sahen auch, wie viele Nutzer Whatsapp auf mehreren Geräten gleichzeitig nutzen, etwa am Handy und am Laptop. In der Schweiz sind das knapp 20 Prozent.
Die Studie zeigt: In der Schweiz gibt es 8,4 Millionen aktive Whatsapp-Konten. Sprich: Rund 93 Prozent der Bevölkerung hat ein Konto, es ist eine der höchsten Raten pro Kopf weltweit. Die Schweizerinnen und Schweizer machen 0,24 Prozent aller Konten weltweit aus. 58 Prozent der hiesigen Nutzerinnen und Nutzer haben ihr Profilbild für alle zugänglich gemacht. 57 Prozent nutzen den Messenger auf einem iOS-Gerät. Der Wert liegt deutlich höher als im Rest von Europa (iOS: 36 Prozent). 43 Prozent in der Schweiz chatten mit Whatsapp auf ihrem Android-Handy. Rund drei Prozent der Konten sind als Business-Accounts markiert. Die Forscher sahen auch, wie viele Nutzer Whatsapp auf mehreren Geräten gleichzeitig nutzen, etwa am Handy und am Laptop. In der Schweiz sind das knapp 20 Prozent.
Warum das gefährlich ist
Wer in einer solchen Liste auftaucht, könnte Ziel von Spam-Anrufen, Phishing-Versuchen oder Betrugsmaschen werden. Kriminelle wissen: Diese Nummern sind aktiv. Besonders brisant: Die Forscher fanden 2,3 Millionen aktive Whatsapp-Konten in China, wo die App verboten ist. In Myanmar waren es 1,6 Millionen. Für diese Nutzer kann es lebensgefährlich sein, wenn die Behörden von der illegalen App-Nutzung erfahren.
Auch Betrugsnetzwerke wurden sichtbar. In Myanmar und Nigeria entdeckten die Wissenschaftler Konten mit identischen Sicherheitsschlüsseln. Dies sei ein Zeichen dafür, dass mehrere Betrüger dasselbe Profil nutzen, um rund um die Uhr Opfer zu kontaktieren, heisst es. Die Daten zeigen auch: Weltweit nutzen rund 81 Prozent der Whatsapp-User Android. In der Schweiz sind es nur 43 Prozent: iOS ist hier deutlich beliebter als in den meisten anderen Ländern.
So reagierte Meta
Ein Jahr lang geschah: nichts. Obwohl die Forschenden Meta ab September 2024 wiederholt warnten, wurde das Problem nicht ernst genommen. Die Tickets wurden als «Duplikat» geschlossen oder als «nicht anwendbar» abgetan. Erst die Androhung einer Veröffentlichung brachte Meta zum Handeln. «Wir danken den Forschern der Universität Wien für ihre verantwortungsvolle Partnerschaft», sagt nun Whatsapp-Manager Nitin Gupta. Durch die Zusammenarbeit sei eine Methode identifiziert worden, die es ermöglichte, Millionen Telefonnummern massenhaft abzufragen. Es gebe jedoch keine Hinweise darauf, dass Kriminelle diese Schwachstelle ausgenutzt hätten. Inzwischen wurden verschiedene neue Schutzmassnahmen eingebaut.
Wer steckt dahinter?
Hinter der Studie «Hey there! You are using Whatsapp» steckt ein Team der Uni Wien und des österreichischen Forschungsinstituts SBA Research. Hauptautor ist Gabriel Gegenhuber, unterstützt von den IT-Sicherheitsexperten Philipp Frenzel, Maximilian Günther, Johanna Ullrich und Aljosha Judmayer.
Wie lief die Forschung ab?
Die Wissenschaftler nutzten eine Open-Source-Software und eine einzige IP-Adresse der Uni Wien: Sie versteckten sich nicht. Von September 2024 bis März 2025 fragten sie systematisch Telefonnummern ab. Meta reagierte erst, als die Veröffentlichung der Studie bevorstand.
Ist das legal?
Ja. Die Forscher handelten nach ethischen Richtlinien der IT-Sicherheitsforschung. Sie meldeten die Lücke verantwortungsvoll an Meta, veröffentlichten keine persönlichen Daten und löschten alles nach der Auswertung. Die Studie wird 2026 auf der NDSS-Sicherheitskonferenz präsentiert.
Wer steckt dahinter?
Hinter der Studie «Hey there! You are using Whatsapp» steckt ein Team der Uni Wien und des österreichischen Forschungsinstituts SBA Research. Hauptautor ist Gabriel Gegenhuber, unterstützt von den IT-Sicherheitsexperten Philipp Frenzel, Maximilian Günther, Johanna Ullrich und Aljosha Judmayer.
Wie lief die Forschung ab?
Die Wissenschaftler nutzten eine Open-Source-Software und eine einzige IP-Adresse der Uni Wien: Sie versteckten sich nicht. Von September 2024 bis März 2025 fragten sie systematisch Telefonnummern ab. Meta reagierte erst, als die Veröffentlichung der Studie bevorstand.
Ist das legal?
Ja. Die Forscher handelten nach ethischen Richtlinien der IT-Sicherheitsforschung. Sie meldeten die Lücke verantwortungsvoll an Meta, veröffentlichten keine persönlichen Daten und löschten alles nach der Auswertung. Die Studie wird 2026 auf der NDSS-Sicherheitskonferenz präsentiert.
Was du jetzt tun solltest
Die Wiener Forscher haben dennoch einen klaren Rat an die Nutzerinnen und Nutzer des Messengers: Sie sollen ihr Profilfoto und ihren Statustext überdenken – und die Informationen nur für Kontakte sichtbar machen, nicht für alle. Ändern lässt sich dies in den Einstellungen (Zahnradsymbol) des Messengers, dann unter Datenschutz > Profilbild/Info. Dort kann man wählen, wer diese Daten angezeigt bekommt.
Wichtig: Die Whatsapp-Chats selbst waren nie in Gefahr. Der Messenger verschlüsselt Nachrichten Ende-zu-Ende, sprich keine Aussenstehenden können mitlesen. Doch die Daten drumherum, die sogenannten Metadaten, sind ein unterschätztes Risiko. Die Studie zeigt: Wer genug davon sammelt, erfährt erstaunlich viel über Menschen.