Rene (MD)
Kürzlich kam es bei Meta und ihrem weltweit beliebtesten Messenger zu einem der größten Datenlecks der Geschichte. Auch wenn man denken mag, dass solche großen Konzerne die Mittel und das Knowhow haben, um Daten schützen zu können, ist es in diesem Fall zu einfach gewesen an die Daten aller WhatsApp Nutzer zu gelangen, wie die Universität Wien und SBA Research bewiesen hat.
Wie kam es zu diesem Datenleck?
Vorab kann man schonmal sagen, dass es sich hierbei nicht um einen klassischen Hack einer Gruppierung oder ähnliches handelt, denn im Grunde wurde nur ein fehlender Sicherheitsmechanismus bei Meta gefunden, der für einen massiven Schaden sorgen wird.
Im von Meta betitelten „Contact-Discovery-System“ wird überprüft, ob eine Telefonnummer zu einem WhatsApp Konto gehört. Im Prinzip sollte das System dazu genutzt werden, um sehen zu können, ob bestimmte Nummern auch WhatsApp nutzen, um eben mit diesen per Chat kommunizieren zu können. Dieses System lag aber offen, sodass theoretisch jeder alle Nummern weltweit abfragen und somit auch Daten abgreifen konnte.
Was umfasst dieser Fehler, bzw. Leak?
Die Universität Wien und SBA Research konnten ganz unkompliziert über mehrere Monate die Daten von über 3,5 Milliarden Nutzer auslesen. Diese Daten beinhalten unter anderem:
- Telefonnummern
- Über 50% der eingestellten Profilbilder
- Öffentliche Schlüssel
- Profildaten, wie Status, Zeitstempel, etc..
- Informationen zu verknüpften Geräten
- Betriebssystem
- Alter des Accounts
Warum konnte die Uni und das Research Center so einfach an die Daten gelangen?
Das solche Daten frei abrufbar sein müssen ist klar, wenn man neue Kontakte bei WhatsApp hinzufügen möchte oder eben mit noch unbekannten Kontakten chatten möchte, da erst nach dieser Abfrage geprüft wird, ob die andere Person überhaupt WhatsApp nutzt und somit überhaupt gechattet werden kann.
Der Fehler an diesem System lag ganz deutlich bei Meta, denn das System meldet ganz einfach, ob die Nummer mit WhatsApp verknüpft ist oder eben nicht. Dabei gab es aber keine Beschränkung in den Abfragen, sodass die Forscher innerhalb einer Stunde 100 Millionen Nummern abfragen konnten und daher auch an eine Menge von Daten gelangen konnte.
Da viele Menschen ihre Profile öffentlich haben, sodass auch Menschen, mit denen man nicht in Kontakt steht, somit auf Profilbilder und andere Daten gelangen können, war es bei diesem Datenleck sehr einfach an viele Daten zu gelangen. Die Uni automatisierte hierbei die Abfragen, was bei Meta nicht aufgefallen ist und somit zu einer schwerwiegenden Sicherheitslücke gekommen ist.
Was ist an dem Datenleck gefährlich?
Nutzer sollten sich im Klaren sein, dass durch diese Abfrage nicht nur das eigene Profilbild und Telefonnummer im Internet zu finden sein könnte. Da auch Meta-Daten abgegriffen werden konnten, können diese Daten in viele Datenbanken einfließen, um damit Schaden anrichten zu können.
Sei es um mit diesen Daten Fake-Profile zu erstellen oder eben auch um Scammer und Phishing-Dienste zu aktivieren, die mit diesen Daten versuchen könnten an weitere sensible Daten und auch Geld zu gelangen. Somit auch in fremden Ländern.
Auch Daten aus dem Status, etc.. könnten als gefährlich angesehen werden. So kann ein Status, der ggf. nur spaßig gemeint ist, ganz einfach zu einem rechtlichen Problem werden, wenn es um politische Einstellung oder ähnliches geht.
Gab es Daten, die verschont geblieben sind?
Ein kleines Aufatmen gibt es bei der Verschlüsselung von Chats, denn dort konnten keine Daten abgegriffen werden. Die Ende-zu-Ende-Verschlüsselung verhinderte dies zuverlässig, sodass keine Chat-Daten aufgenommen werden konnten.
Wie kann ich mich zukünftig schützen?
Damit solche Daten nicht nochmals als Datenbank abgespeichert werden und somit auch im Internet geteilt werden können, sollte man im ersten Schritt sein Profilbild, sowie freigegebene Daten wie Status, Zeitstempel, etc. überdenken und ggf. nicht nutzen. Das Mindeste ist hierbei, die Datenschutz-Einstellungen von WhatsApp so anzupassen, dass keine Daten öffentlich geteilt werden können.
Auch sollten neue und deutlich unbekannte Kontakte nicht so einfach ins Adressbuch eingespeichert werden. Gerade bei ausländischen Nummern sollte man besonders vorsichtig sein, die ggf. vorhandene Daten anderer Nutzer nutzen, um in euch in Kontakt treten zu können.
Letzter Schritt wäre es, sich von seinem aktuellen Konto zu verabschieden und einen neuen Account anzulegen, der dann die vorhandenen Daten nicht mehr enthält und entsprechend vorbereitet werden kann.
Meta hat schon reagiert – aber mit sechs Monaten Verzug
Der Konzern wurde schon im September 2024 auf diese Schwachstelle aufmerksam gemacht, reagierte aber nicht und lies die Forscher das machen, was zu dem größten Leak der Geschichte geführt hat. Als die Uni und SBA Research die Forschung veröffentlichten, reagierte Meta schnell, was allerdings 6 Monate in das Land gebracht hat. Die folgenden Sicherheitsmechanismen wurden direkt umgesetzt:
- Rate Limits wurden angepasst: Daten können nicht mehr in dieser Menge abgerufen werden
- Sicherheits-Bot: Bei ungewöhnlichen Abfragen reagiert das System automatisch
- Zeitstempel: Wurden im Zusammenhang mit Profilbildern deaktiviert
- Schlüssel: Neue Accounts bekommen ein verbessertes Schlüsselsystem
- Maximale Abfragen: Accounts können nur noch X Abfragen pro Account stellen
Wird es wieder zu einer Klagewelle kommen?
Mit großer Wahrscheinlichkeit arbeiten Kanzleien schon an einer Klage gegen das Unternehmen, bei dem sich Nutzer mit anschließen können, um einen Schadenersatz einfordern zu können. Dieses Prozedere ist bei anderen Datenlecks oftmals gang und gäbe, wenn man sein Mandat an die Kanzlei abtritt, damit diese einen Schadenersatz erwirken können.
TIPP:
bleib auf dem Laufenden: Deals per - Mit Freunden teilen?
- Hol dir unsere App für
oder 
Ähnliche Schnäppchen
-
🖥️🍪 Cookie Reform geplant: EU möchte Cookie abfragen deutlich verbessern
-
📦 AliExpress, Temu, Shein & Co.: Zollfreigrenze soll abgeschafft werden
-
📱 WhatsApp Chats mit Drittanbietern ab sofort möglich, aber eingeschränkt
-
💡 ChatGPT Business mit bis zu 5 Accounts ➡️ einen Monat lang für 1€ testen (statt 34€)
- Abos
- Amazon-Angebote
- Apps
- Babies / Kinder
- Blitzangebote
- Brettspiele
- Bücher
- Bundleangebote
- Camcorder
- China Gadgets
- Coupons
- DSL Angebote
- DVDs & Blu-Ray Deals
- eBay WOW
- Essen & Trinken
- Fotografie
- Gewinnspiele
- Günstiges aus der Reihe
- Gutscheine
- Handy Deals
- Haushalt & Garten
- Heimkino & HiFi
- iBOOD Angebote
- Konsolen-Schnäppchen
- Kostenloses und Gratisartikel
- Kündigungs-Vorlage
- Leasing Angebote & Deals
- Mode und Kleidung
- Monitor Angebote
- Navigationssysteme
- News
- PC & Notebook Angebote
- Preisfehler
- Rabattaktionen
- Ratgeber
- Reisedeals
- Saturn
- Schnäppchen
- Service & Infos
- Sky Angebote
- Software
- Sport + Hobby
- SportScheck
- Tablet Angebote & Schnäppchen
- TV Angebote
Super, das ist ja wie bei mir auf der Arbeit:
Probleme werden so lange ignoriert bis es eskaliert und zu spät ist. Dann bricht Panik aus, man versucht es zu vertuschen, die Schuld auf andere zu schieben und macht im Endeffekt genauso weiter wie zuvor.
Trete ich mein Mandat demnächst also wieder an ne Kanzlei ab…
Kommt ja so langsam richtig was an Geld zusammen was man dadurch bekommt 🤣
oh man… Dass man ein gewisses Risiko eingeht, wenn man „vernetzte Dienste“ (social media, messenger,…) nutzt sollte jedem bewusst sein. Komplexe systeme beinhalten i.d.R. nunmal auch schwachstellen. Kann den besten passieren, so lange nicht fahrlässig gehandelt wurde. Aber dass auf einen klaren Hinweis nicht reagiert wurde, finde ich ist der eigentliche Skandal!
Selbst Schuld wenn man so etwas benutzt, solche sachen habe ich vom PC und Handy entfernt.
Wie finde ich heraus, ob ich betroffen bin?
Jeder Whatsapp Nutzer ist betroffen.