WhatsApp-Daten zum Verkauf: Fast 500 Millionen User sind betroffen

Die Anzahl der WhatsApp User beläuft sich aktuell auf etwa zwei Milliarden. Unzureichende Sicherheitsmaßnahmen und Datenlecks können bei so vielen Nutzer:innen gefährlich werden; und genau das ist jetzt (erneut) passiert. Der Social-Media-Experte Matt Navarra twitterte, dass eine halbe Milliarde WhatsApp-Datensätze online zum Verkauf angeboten werden.

WhatsApp data leak: 500 million user records reportedly for sale https://t.co/BtcoyGX5ww

— Matt Navarra (@MattNavarra) November 28, 2022

Eine anonyme Person hat sich kürzlich eine Sicherheitspanne vonseiten Metas zu Nutze gemacht und verkauft aktuell Handynummern von fast 500 Millionen WhatsApp-Nutzer:innen. Cybernews ging den Hinweisen, die ihnen von der:dem Bedrohungsakteur:in zugespielt wurden, nach und untersuchte eine Datenprobe. Das Ergebnis: Alle untersuchten WhatsApp-Nummern stammen tatsächlich von Usern.

Fast 6 Million deutsche WhatsApp User sollen betroffen sein

Bereits am 16. November veröffentlichte eine anonyme Person eine Anzeige in einem bekannten Hacker-Community-Forum und behauptete, sie:er verkaufe eine mit aktuellen Handynummern bestückte Datenbank aus dem Jahr 2022 mit 487 Millionen WhatsApp-Mobiltelefonnummern.

Die Datensätze stammen angeblich aus 84 Ländern, 32 Millionen davon sollen laut der Angaben von US Usern stammen. Weitere Mobilfunknummern sind Menschen aus Ägypten (45 Millionen), Italien (35 Millionen), Saudi-Arabien (29 Millionen), Frankreich (20 Millionen) und der Türkei (20 Millionen) zuzuordnen. Einige der zum Verkauf stehenden Datensätze enthalten angeblich auch die Telefonnummern von über sechs Millionen deutschen Nutzer:innen.

Akteur:in fordert 7.000 US-Dollar für US-WhatsApp-Daten

Gegenüber Cybernews erklärte die:der Bedrohungsakteur:in, dass sie:er den US-Datensatz für 7.000 US-Dollar, den UK-Datensatz für 2.500 US-Dollar und den deutschen Datensatz für 2.000 US-Dollar verkaufen würde. Auf Anfrage teilte der:die Verkäufer:in der WhatsApp-Datenbank eine Probe, die 1.097 UK- und 817 US-User-Nummern beinhaltete. Nach einer Untersuchung durch Cybernews konnte bestätigt werden, dass es sich bei allen in der Stichprobe untersuchten Nummern um Daten von WhatsApp-Nutzer:innen handelte.

Die:Der Bedrohungsakteur:in erklärte nicht, wie sie:er an die Datenbank gelangen konnte, versicherte jedoch, dass alle Nummern in der Instanz aktiven WhatsApp Usern gehören. Bislang reagierte Meta nicht auf eine Bitte um Stellungnahme. Cybernews erklärt in dem Artikel:

Such information is mostly used by attackers for smishing and vishing attacks, so we recommend users to remain wary of any calls from unknown numbers, unsolicited calls and messages.

Meta wiederholt in Datenskandal verwickelt

Meta wird seit langem dafür kritisiert, dass der Konzern aufgrund unzureichender Sicherheitsmaßnahmen nicht immer verhindern kann, dass Dritte Benutzer:innendaten scrapen oder sammeln, wobei Cambridge Analytica das prominenteste und skandalöseste Beispiel ist. Von 2018 bis August 2022 lief der Rechtsstreit zwischen US-Nutzer:innen und Facebook im Rahmen dieses Datenskandals. Er endete mit einem Vergleich in der elften Stunde. Erst im April dieses Jahres zeigten beunruhigende (unfreiwillige) Enthüllungen Facebooks, dass das Social-Unternehmen aufgrund der riesigen Menge an Daten mitunter nicht im Stande ist, nachzuvollziehen, wohin die gesammelten User-Daten gehen. Im selben Monat haben sowohl Apple als auch Facebook als Reaktion auf gefälschte Notfallanfragen sensible User-Daten an Kriminelle herausgegeben. Die Hacker hatten sich als Strafvollzugsbeamt:innen getarnt.

Durchgesickerte Telefonnummern können von Betrüger:innen für Marketing-Zwecke, Pishing, Identitätsdiebstahl und dergleichen verwendet werden. Mantas Sasnauskas, Leiter des Cybernews-Forschungsteams, erklärt:

In this age, we all leave a sizeable digital footprint – and tech giants like Meta should take all precautions and means to safeguard that data. We should ask whether an added clause of ‚scraping or platform abuse is not permitted in the Terms and Conditions‘ is enough. Threat actors don’t care about those terms, so companies should take rigorous steps to mitigate threats and prevent platform abuse from a technical standpoint.