Nach einem großen Datenleck bei WhatsApp, von dem rund 3,5 Milliarden Nutzer betroffen sind, machen sich viele Sorgen um die Sicherheit ihres Accounts. Die größte Gefahr besteht nicht darin, dass jemand die verschlüsselten Chats mitlesen kann – die sind weiterhin sicher. Das Problem sind vielmehr die sogenannten Metadaten, also vor allem Telefonnummern, manchmal auch Profilbilder, Statusmeldungen oder die Info, dass jemand WhatsApp nutzt.
Kriminelle können diese Daten nutzen, um gezielte Betrügereien zu starten. Dazu gehören zum Beispiel Identitätsdiebstahl, Phishing und Spam-Anrufe. Wenn ein Betrüger eine echte Handynummer kennt, hat er schon einen wichtigen Baustein, um dem Nutzer glaubwürdig etwas vorzulügen.
Datenleck bei WhatsApp: Wie Kriminelle an Ihre Daten gelangen
Geleakte Meta-Datensätze, die oft Telefonnummern in sehr großer Menge enthalten, sind für Kriminelle relativ leicht zugänglich. Bereits in der Vergangenheit wurden solche Listen zu geringen Preisen im Darknet gehandelt, durch sogenannte Scraping-Techniken (automatisches Sammeln öffentlich sichtbarer Daten) oder Schwachstellen in der Contact-Discovery-Funktion von WhatsApp gewonnen.
Der Angriff selbst ist gar nicht so kompliziert – das Einfache daran ist vor allem, dass Kriminelle riesige Mengen an Telefonnummern und anderen Kontakt-Infos ganz leicht und in Massen bekommen oder selbst zusammensammeln können.
Mögliche Folgen nach WhatsApp-Daten-Leck: Vorsicht vor Phishing und Spam-Anrufen
Die größte Gefahr durch das Leck: Immer mehr Phishing, Spam-Anrufe und Betrug. Kriminelle schreiben oder rufen die Betroffenen einfach über WhatsApp, SMS oder normal per Telefon an. Sie geben sich als Bank, als Verwandte ("Enkeltrick") oder als Behörde aus und versuchen so, Passwörter oder Geld abzugreifen.
Noch größerer Schaden kann entstehen, wenn die gestohlenen WhatsApp-Nummern mit anderen geleakten Daten (zum Beispiel Namen, Adressen oder E-Mails aus anderen Hacks) kombiniert werden. Es lassen sich detaillierte Profile erstellen, mit denen Identitätsdiebstahl viel einfacher wird.
Theoretisch sind sogar sogenannte Zero-Click-Angriffe möglich. Dabei muss man nicht mal auf einen Link klicken. Die Schadsoftware installiert sich von allein und die Angreifer können das komplette Handy übernehmen.
Nach Datenleck bei WhatsApp: So können Nutzer ihren Schutz optimieren
- Nutzer sollten umgehend die Zwei-Faktor-Authentifizierung (2FA) aktivieren, was den wichtigsten Abwehrmechanismus darstellt. Kriminelle benötigen dann zusätzlich eine festgelegte PIN, um das Konto zu kapern.
- Darüber hinaus sollten die Privatsphäre-Einstellungen angepasst werden. Das Profilbild, der "Zuletzt gesehen"-Status und die "Info" sollten idealerweise nur für die eigenen Kontakte oder niemanden sichtbar sein.
- Grundlegend gilt, äußerste Vorsicht bei Nachrichten von unbekannten Nummern walten zu lassen. Klicken Sie niemals auf Links oder Anhänge aus unerwarteten Quellen.
- Halten Sie WhatsApp sowie das Betriebssystem stets aktuell zu halten.
Auch ein weiteres Datenleck erschüttert das Internet: Fast zwei Milliarden einzigartige E-Mail-Adressen und 1,3 Milliarden Passwörter sind durch ein massives Credential-Stuffing-Leak öffentlich zugänglich geworden.
Prof. Dr. Dennis-Kenji Kipker ist Jurist und Informatiker. Als Direktor des cyberintelligence.institute forscht und berät er international zu Cybersicherheit, digitaler Resilienz sowie IT-Recht in China und den USA. Er ist Teil unseres Experts Circle. Die Inhalte stellen seine persönliche Auffassung auf Basis seiner individuellen Expertise dar.