Gab wohl wieder mal ein Datenleck in WhatsApp.
Wie das ganze ablief und welche Daten (Telefonnummer, Profilbild ect.) betroffen sind, wird in dem Heise Video gut darstellt.
https://www.youtube.com/watch?v=iu5ddz8kuHM
Nunja, hab seit Jahren kein WA mehr.
Heftige Sache. Aber den meisten wird es egal sein!
Zitat aus dem Heise Artikel:
Kurios ist eine zweistellige Zahl an Whatsapp-Konten, bei denen nicht nur alle drei Schlüssel identisch waren und wiederverwendet wurden, sondern wo die Forscher den privaten Schlüssel herausfinden konnten: Er bestand nur aus Nullen. Der Grund ist nicht geklärt, womöglich ist der Zufallszahlengenerator des von diesen Usern genutzten WhatsApp-Clients kaputt, ob absichtlich oder nicht.
War Whatsapp nicht mal berühmt dafür, daß sie die Telefonbücher der Teilnehmer absaugen, äh, hochladen? Machen sie das noch immer? Und haben diese Hacker das jetzt alles? Und auch alle Beziehungsnetzwerke, also wer mit wem whatsappt?
edit: Sind das dann alle WA Accounts oder gibts noch weitere, nicht betroffene?
Offenbar alle, laut PC-Welt:
Alle Whatsapp-Konten (auch Ihres!) frei zugänglich im Web
Mich hat diese Info verblüfft:
In Deutschland gibt es fast 75 Millionen Whatsapp-Konten.
Deutschland hat 83 Mio. Bewohner (oder so), inklusive Kinder, Menschen ohne Handy sowie Menschen mit Handy, aber ohne Whatsapp.
Es gibt natürlich mehrere pro Einwohner, alleine schon deswegen, um berufliches und privates zu trennen. Selbst ich habe privat 3 Konten, wovon ich aber nur 1 nutze.
Karteileichen sind da bestimmt auch dabei.
Wer sichert ist feige - immer noch das Motto vieler sorgloser Smartphone-Nutzer. Neues Smartphone, neue Nummer, egal, neues Whatsapp. Geht ja schnell, ich muss nur meinen Telefonbuchinhalt retten, schon sind die Kontakte wieder da.
Das ist aber anhand diverser Foren, die voll sind mit Beiträgen zu nicht wiederherstellbaren Backups, nicht nachzuvollziehen.
Vor knapp drei Jahren (Dez 2022)
Check Point Research (CPR) has analyzed the files that are for sale on the Dark Web, whose sellers claim are from WhatsApp users, revealing the leak includes 360 million phone numbers from 108 countries…
https://blog.checkpoint.com/2022/12/01/check-point-research-analyzes-files-on-the-dark-web-and-finds-millions-of-records-available/
(Fett von mir)
Da wundert es doch, dass im Dark Web nicht mehr, bzw. öfter WA Nummern verkauft wurden?
Artikel gelesen?
ich hatte mich vor ca. 10 Jahren von WA verabschiedet.
Die richtige Entscheidung.
Hier eine aus meiner Sicht lesenswerte Analyse des Whatsapp-Vorfalls durch Threema.
Danke für den Link! Der Artikel vom Threema-Blog kritisiert (nicht ganz uneigennützig) die Praxis von WhatsApp (und diverser anderer Messenger) die Telefonnummer als Unique Identifier zu nutzen. Gleichzeitig räumt der Blogbeitrag aber auch mit dem reißerischen Wording auf, das schon im zugrundeliegenden Heise-Artikel (“Datenabfluss”) und auch hier im Thread verwendet wird (“Datenleck”):
Weil WhatsApp die Telefonnummer als Adressierungselement verwendet, ist auch nicht unerwartet, dass es von jeder einzelnen Telefonnummer möglich sein muss, zu eruieren, ob ein WhatsApp-Benutzerkonto damit verbunden ist oder nicht. Andernfalls wäre nicht möglich, Kontakte in WhatsApp hinzuzufügen. […] Wie dargelegt, ist es etwas überzogen, im vorliegenden Fall von einem «Datenleck» zu sprechen, da es sich um öffentlich zugängliche Informationen handelte. Wenn Benutzer Angaben öffentlich publizieren, liegt in der Natur der Sache, dass jedermann sie einsehen und potenziell speichern kann. Möglicherweise war aber vielen Benutzern gar nicht bewusst, was die Privatsphäre-Einstellungen konkret bedeuten. […] Selbst die besten Anti-Scraping-Mechanismen verhindern allerdings nicht, dass von jeder einzelnen Telefonnummer ermittelt werden kann, ob ein WhatsApp-Benutzerkonto damit verbunden ist oder nicht.
Ich finde das sehr ausgewogen dargestellt. Der Konfigurationsfehler lag also allein auf Nutzerseite (Privatsphäre-Einstellungen). Das Scraping-Risiko entsteht allerdings auf Seiten des Anbieters und seiner Fixierung auf Telefonbuch-Daten, die (wie durch die Wiener Forscher geschehen) mit Hilfe von endlichen Adressräumen automatisiert gescannt werden können. Was auch Spammer gerne tun und damit unerwünschte Nachrichten an zuvor gar nicht geleakte Telefonnummern senden können.
Ich finde, es fehlt doch auch die Auseinandersetzung mit Metas Unwilligkeit, etwas gegen das Scraping zu unternehmen, obwohl die Forscher sogar Vorschläge gemacht hatten. Über ein Jahr lang (meine ich mich aus einem Video zu erinnern) einfach nix zu machen und abzuwarten, bis die Daten auch ganz sicher von jedem, den sie interessieren, ausgebeutet wurden, ist nicht die richtige Art, damit umzugehen.
3,5 Mrd.? Hui… sind einige. Vermutlich auch viele mit Bots erstellte Accounts. Gott sei Dank nutze ich das nur fürs Nötigste und ansonsten aktuell Signal.