WhatsApp: Viel Lärm um nichts, oder Mega-Leak?

30.11.2022
G DATA Blog

Vor einigen Tagen machten Berichte die Runde, nach denen Kriminelle in einem Untergrundforum 487 Millionen Telefonnummern von WhatsApp-Nutzer*innen zum Kauf angeboten haben. Darunter sind auch sechs Milllionen Nummern aus Deutschland. Es gibt jedoch Zweifel am Ursprung der Daten.

Der erste Impuls vieler Menschen beim Lesen dieser Nachricht ist, hier erst einmal von einer neuerlichen Sicherheitspanne bei der Meta-Tochter WhatsApp auszugehen. Es wäre nicht das erste Mal. Ein Beispiel aus der nicht allzu fernen Vergangenheit: Anfang 2021 wurde bekannt, dass über die Web-Version von WhatsApp, mit der sich der beliebte Messenger in einem Browserfenster nutzen lässt, Telefonnummern von Nutzer*innen über Google suchbar waren. Ende 2020 fanden Forschende heraus, dass sich unter bestimmten Bedingungen die Verschlüsselung von WhatsApp umgehen lässt. Beide Lücken wurden zeitnah behoben.  

Zusammengekratzte Daten

Doch wer genauer hinschaut, wird auf den zweiten Blick einige Ungereimtheiten feststellen. Zum einen bedarf es nicht unbedingt einer Sicherheitslücke in WhatsApp, um an gültige Mobilfunknummern zu kommen. Analog zu einem Vorfall aus dem Jahr 2021, bei dem Daten von Nutzenden des Karrierenetzwerkes LinkedIn als "geleakt" bezeichnet wurden, ist es auch denkbar, dass die vermeintlich erbeuteten Mobilnummern mit einem sogenannten Scraper aus anderen Quellen gezogen wurden. Ein Scraper ist ein Programm, das automatisiert öffentlich zugängliche Datenquellen nach bestimmten Daten durchsucht und diese herunterlädt. Das ist an sich erst einmal nicht verwerflich. Problematisch wird es erst, wenn eine Schnittstelle diese Art der Datensammlung zulässt – wie eben bei LinkedIn. Auch wenn es sich vielleicht nach Haarspalterei anhört: Wenn eine Schnittstelle Scraping ermöglicht, dann ist das nicht unbedingt gleichbedeutend mit einer Sicherheitslücke. Was aber  - sollte es sich bei der Quelle der Daten tatsächlich um das Ergebnis von Scraping handeln – definitiv versäumt wurde, ist das Unterbinden von Missbrauch. Um einen „Hack“ handelt es sich in so einem Falle nicht, auch wenn es auf den ersten Blick so aussieht.  

Hohe Bußgelder

Ein Datenleck, welches auf unbefugtes Eindringen in ein Netzwerk zurückgeht und bei dem Angreifer persönliche Daten von Nutzenden abrufen, ist andererseits auch ein Vorfall, der meldepflichtig ist. Eine solche Meldung liegt allerdings zum Zeitpunkt der Drucklegung bei keiner europäischen Datenschutzbehörde vor. Relevant ist dieses Detail deshalb, weil bei einer Verschleppung einer Meldung – gerade bei einem potenziellen Vorfall dieses Ausmaßes – mit sehr empfindlichen Bußgeldern einhergeht. Das dürfte angesichts der über 900 Millionen Euro an Bußgeldern die Meta auferlegt wurden, kaum im Interesse des Social Media-Giganten sein. Auch wenn die bisherigen Urteile noch nicht rechtskräftig sind, da ein Berufungsverfahren anhängig ist.  

 

Authentisch ist nicht gleich echt

Einige Journalisten haben sich auch Stichproben aus dem zum Verkauf stehenden Datensatz besorgt und konnten verifizieren, dass alle Nummern tatsächlich auch bei WhatsApp vertreten waren. Das mag stimmen, ist aber nur begrenzt aussagekräftig. 

An dieser Stelle wird das Bild unscharf. Zum Einen ist WhatsApp noch immer der am weitesten verbreitete und meistgenutzte Messengerdienst weltweit. Die Chance, dass eine beliebige Mobilfunknummer in einem Datensatz auch zumindest an irgendeinem Punkt bei WhatsApp vertreten war, ist also recht groß. Zum anderen behalten die meisten Menschen ihre Telefonnummer über einen langen Zeitraum – selbst wenn sie WhatsApp schon lange nicht mehr nutzen. Telefonnummern werden auch „weiter vererbt“: Wenn eine Rufnummer frei wird, dann teilt der Mobilfunkanbieter diese Nummer in der Regel einem neuen Inhaber zu. Selbst wenn die Person, die diese Nummer nutzt, selbst niemals WhatsApp genutzt hat, kann diese Nummer dennoch in einer entsprechenden Datenbank auftauchen. 

WhatsApp ist zudem bei weitem nicht die einzige potenzielle Quelle für solche Daten. Wie erwähnt wurden auch bereits Nummern aus der Nutzerschaft von LinkedIn von einem Scraper gesammelt. Und nicht zuletzt können die Nummern auch aus einer Vielzahl anderer Datenlecks stammen, bei denen persönliche Daten abhandengekommen sind. Um die Zahlen in die Höhe zu treiben, fassen Kriminelle auch oft mehrere Datenbanken mit Informationen aus alten Datenleaks zusammen und verkaufen diese erneut – solche Datenbanken sind oft voll von Daten, die entweder alt sind oder es handelt sich um Dubletten. Übrigens: Dass Daten alt sind, muss nicht heißen, dass sie nicht mehr aktuell sind. Wie bereits beschrieben, behalten Menschen ihre Nummern in der Regel recht lange – was aber leider auch für Passwörter gilt.  

Alternativen zu WhatsApp

Wer nicht mehr auf den Messenger aus dem Hause Meta angewiesen sein möchte, hat zahlreiche Alternativen zur Verfügung. Die meisten davon sind kostenlos und haben einen Funktionsumfang, der dem von WhatsApp in vielen Punkten gleicht. Das quelloffene Signal sowie Threema sind vermutlich neben Telegram die am weitesten verbreiteten Alternativen. Es kommt aber am Ende immer darauf an, wie viele Menschen im eigenen Umfeld ebenfalls zu einem Wechsel bereit sind. Zwar haben sich in den letzten Monaten immer mehr Menschen von WhatsApp abgewandt, aber damit steht erst einmal nur die Entscheidung ins Haus, zu welchem Messenger der Bekanntenkreis wechselt.  

Also alles vollkommen harmlos?

Nein, definitiv nicht. Selbst wenn einem Kriminellen nur eine Telefonnummer bekannt ist, lassen sich hier Betrugsmaschen aller Art anbringen. Der klassische „Enkeltrick“ ist schon lange nicht mehr nur etwas, das an der Haustür, auf dem Parkplatz oder im Supermarkt stattfindet. Auch Messenger werden zunehmend von Betrügern genutzt, um arglose Menschen um ihr Geld zu bringen. Auch das Onlinebanking wird schnell zur Zielscheibe von Kriminellen, denn viele Menschen nutzen trotz sichererer Alternativen wie ChipTAN noch immer das zwar bequeme aber eben nicht ganz so sichere SMS-TAN – Verfahren für ihre Bankgeschäfte. Gelingt es Kriminellen, sich eine zweite SIM-Karte zu einer Mobilnummer zu beschaffen, können sie im schlimmsten Fall unbemerkt das Bankkonto leer räumen. 

Gerade jetzt in der Vorweihnachtszeit gibt es auch wieder verstärkt SMS-Nachrichten mit angeblichen Paketankündigungen. Wer hier nicht auf der Hut ist, kann sich schnell entweder Schadsoftware einfangen oder seine persönlichen Daten einer Bande von Kriminellen auf dem Silbertablett servieren. Gerade jetzt sollten Nutzer*innen ganz besonders auf der Hut sein.  

  • Der Enkeltrick im Netz: Wenn jemand über eine unbekannte Rufnummer Geld verlangt, sollten sofort die gedanklichen Alarmglocken angehen. Betrüger geben sich oft als Familienangehörige aus - am besten ist es, über die bekannte Runummer zu versuchen, Kontakt zu der Person aufzubauen, die sich angeblich gerade in einer Notlage befindet (z.B. Handy gestohlen, Verkehrsunfall, etc.)
  • Beim Einkauf übers Netz: Kommunikation nur über die offiziellen Kanäle laufen lassen. Oft versuchen Betrüger, ihre Opfer auf eine andere Kommunikationsplattform zu locken, die nicht von der jeweiligen Einkaufsplattform abhängig ist. Ziel ist es dabei, etwa einen Artikel nicht über die offizielle Zahlungsplattform abzuwickeln. So wird schlimmstensfalls ein Käuferschutz ausgehebelt. 
  • Kommt ein angeblicher Link mit einer Versandbestätigung und der Aufforderung, über den Link Daten zu bestätigen oder einzugeben: Finger weg! Im Zweifelsfall lieber in der Bestellübersicht der jeweiligen Einkaufsplattform nachschauen. Dafür sollte niemals der Link genutzt werden, der in einer SMS oder Mail angegeben ist. 

Tim Berghoff
Security Evangelist

Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein