Fast 500 Millionen WhatsApp-Benutzerdaten in Untergrundforum angeboten (Nov. 2022)

Sicherheit (Pexels, allgemeine Nutzung)[English]Bereits am 16. November 2022 hat ein Unbekannter einen riesigen Datensatz mit ca. 487 Millionen WhatsApp-Benutzerdaten in einem Untergrundforum angeboten. Der Datensatz enthält angeblich WhatsApp-Nutzerdaten aus 84 Ländern, darunter ca. 6 Millionen aus Deutschland. Mit in den Datensätzen die Mobilfunknummern der betreffenden WhatsApp-Kontenbesitzer.


Anzeige

Der zum Facebook-Konzern Meta gehörende Messenger-Dienst WhatsApp soll weltweit angeblich zwei Milliarden Benutzer haben. Jemand scheint wohl einen großen Anteil an Nutzerdaten, die diese bei WhatsApp in ihren Profilen hinterlegen, abgezogen zu haben. Es soll sich um einen Datenbestand handeln, der das Jahr 2022 beinhaltet.

WhatsApp data leak
Quelle: CyberNews

Insgesamt wurden ca. 487 Millionen WhatsApp-Benutzerdaten am 16. November 2022 im Untergrundforum angeboten. Obigem Screenshot ist zu entnehmen, dass auch gut 6 Millionen WhatsApp-Daten aus Deutschland in diesem Datensatz enthalten sind. Die Seite Cybernews hat in diesem Artikel einige Details zu diesen Datensätze offen gelegt (danke an den Leser für den Hinweis).

WhatsApp data for sale


Anzeige

Auf Anfrage eines Sicherheitsforschers, der mit Cybernews kooperiert, übermittelte der Verkäufer der WhatsApp-Datenbank eine Stichprobe aus dem Datensatz, die die für WhatsApp verwendeten Telefonnummern von 1097 britischen und 817 US-amerikanischen Nutzern enthielt. Cybernews gibt an, alle in der Stichprobe enthaltenen Nummern verifiziert zu haben. Die Redaktion bestätiget, dass alle Telefonnummern aus der Stichproblem zu WhatsApp-Nutzern gehören.

Der Verkäufer des Datensatzes legte nicht offen, wie er an die WhatsApp-Telefondaten gekommen sei. Er gab lediglich gegen Cybernews an, "seine Strategie" zum Abziehen der WhatsApp-Daten verwendet zu haben. Laut den Angaben des Verkäufers sollen alle Telefonnummern zu aktiven WhatsApp-Nutzern gehören. Cybernews hat im Artikel eine Liste aller Länder samt der Zahl der Datensätze veröffentlicht, aus denen WhatsApp-Daten abgezogen wurden.

Auf Anfrage von Cybernews an Meta bezüglich dieses Datenlecks gab es bisher noch keine Antwort. Die Redaktion von Cybernews spekuliert, dass die abgezogenen WhatsApp-Nutzerdaten durch Scraping über eine API gesammelt wurden. Das verstößt zwar gegen die Nutzungsbedingungen von WhatsApp, wird aber immer wieder für solche Zwecke genutzt. Für Meta kommt das nicht sonderlich gelegen, denn 2021 veröffentlichte ein Hacker Telefonnummern von 533 Millionen Facebook-Nutzern (siehe Hacker publiziert 533 Millionen Telefonnummern von Facebook-Nutzern).

In Datenlecks veröffentlichte Telefonnummern können für Phishing, Betrug, Angriffe über WhatsApp oder auch (je nach Land) für Telefonmarketing missbraucht werden. Der Fall zeigt erneut, wie verletzlich die digitale Gesellschaft geworden ist. Denn WhatsApp bekommt über die App Zugriff auf die gespeicherten Kontakte. In Deutschland darf WhatsApp daher im geschäftlichen Umfeld aus DSGVO-Gründen seit Mai 2018 nicht mehr eingesetzt werden (ich habe den Dienst seinerzeit bei mir gekickt). Aber viele Firmen und selbst Behörden kümmern sich nicht um diesen Sachverhalt und verwenden WhatsApp für die Kommunikation.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

18 Antworten zu Fast 500 Millionen WhatsApp-Benutzerdaten in Untergrundforum angeboten (Nov. 2022)

  1. Luzifer sagt:

    sind die Telefonnummern bei WhatsApp verdeckte Daten? Die sind doch offen, schließlich stellt man über die Telefonnummer die Verbindung her? Oder verstehe ich da was falsch? (nutze diesen Dienst nicht) Nutzername / Telefonnummer sind da doch öffentliche Daten, also nicht schwer diese einzusammeln, lediglich eine Fleißarbeit, die sich auch automatisieren lässt.

    • Anonymous sagt:

      Die sind nur dann öffentlich, wenn man so unachtsam ist und sie jedem Nutzer um die Ohren haut.

      In der Regel sind sie nicht öffentlich. Das Problem vieler WA-Nutzer… ERST einrichten und online gehen, DANN datenschutzkonform konfigurieren. Weil sie die "richtige" Reihenfolge gar nicht kennen, bzw. es unnötig erschwert wird.

      Konteninformationen "nur Kontakten" zugänglich zu machen reicht völlig aus. Die muß nicht "jeder" sehen. Dann funktioniert nämlich die Fleißarbeit, wie Du sie so trefflich nanntest, wunderbar.

    • Das Bierchen sagt:

      Ja, sind offen; sonst kann man auch keine Person in WhatsApp "finden".
      Eigentlich ist das Ganze mit den Nummern "relativ" entspannt zu sehen – meiner Meinung nach.

      • Günter Born sagt:

        Zu "relativ entspannt": Bin nicht so sicher – mir geht der Fall im Hinterkopf herum, wo Gigaset Smartphones von der Firmware her infiziert wurden. Die WhatsApp-Nutzer haben dann arg drunter gelitten, dass sie in den Fokus von Kriminellen gerieten, die an die Kontaktdaten gelangten – kann aber sein, dass da noch ein anderer technischer Hintergrund mit rein spielte.

        Aber der kürzlich berichtete WhatsApp-Betrugsfall, bei dem Leuten Tausende Euros aus den Rippen geleiert wurden, ist mir auch noch im Hinterkopf. Ist zwar letztlich ein Fehler der Opfer, aber ohne die WhatsApp-Kontakte wären diese Nachrichten nicht an die Opfer geleitet worden – schätze ich mal. Es ist also immer unschön, wenn solche persönlichen Daten offen gelegt werden.

    • Dolly sagt:

      Du verstehst was falsch.

  2. Anonymous sagt:

    "Aber viele Firmen und selbst Behörden kümmern sich nicht um diesen Sachverhalt und verwenden WhatsApp für die Kommunikation."
    Ja, so auch meine Firma. Und ich begreife es beim besten Willen nicht: Der Einsatz von WA verstößt (vollumfänglich) gegen die DSGVO und dennoch wird der Mist genutzt, genutzt und weiter genutzt. Es interessiert niemanden. Exemplarisch wird alle 5 Jahre mal ein Bußgeld verhängt, das um 99 % reduziert und letztlich doch nicht bezahlt wird.

    Was eine Lachnummer!

    • Günter Born sagt:

      Ging mir im Kopf herum – im gegenständlichen Fall wird man aber einer Firma xyz nichts anhängen können, weil nicht klar ist, wie die Daten in die Hände der betreffenden Person gelangten. Hier ist vermutlich Meta in der Pflicht.

    • Blupp sagt:

      Da fehlt wohl das Bewusstsein für das Problem. Es kann auch ein Problem sein, wenn man WA aus der Firma raushaben will und die Nutzung untersagt. Man wird verbal geteert und gefedert und WA dann trotzdem weitergenutzt. Mindestens versteht man danach aber die Redewendung "Wenn Blicke töten könten".

    • Miggl sagt:

      Leider liegt das oft an den Nutzern. Auf unseren dienstlichen Geräten wird kein WhatsApp zugelassen, von daher kein Problem. Damit können wir aber nicht verhindern, dass die Mitarbeiter ihre privaten Rufnummern austauschen und dann dazu nutzen, dienstliche Daten auszutauschen.

      So läufts mit Sicherheit überall, siehe Bußgeld gegen die Deutsche Bank.

      • R.S. sagt:

        Da fehlt dann eine dienstliche Anweisung des Arbeitgebers.
        In meiner Firma ist WhatsApp (und auch alle anderen ähnlichen Dienste) verboten und in der Firmen-Firewall gesperrt.
        Die Benutzung von Privatgeräten zu dienstlichen Zwecken ist ebenfalls verboten und führt bei Bekanntwerden unmittelbar zu einer Abmahnung und im Wiederholungsfalle zu einer Kündigung.

  3. Norddeutsch sagt:

    @Blupp, @ Anonymous – Ja – es fehlt nahezu jedes Bewusstsein. Seit Jahren kann man regelrecht verzweifeln – obwohl man selber schon ehrbar zweistellige Millonen Kundendaten schützte & verantwortete.

    Das ist nicht nur "in gängigen Unternehmen" – mE handelt es sich um ein fast „soziologisches Problem" der Wahrnehmung. Dies Gesellschaftsweit und oft fast sinnfrei begünstigt durch diverseste Placebo-Themen am unteren Ende der Wahrnehmung oder Maslowschen Bedürfnisspyramide – und sei es, dass es kein Bier gibt auf (in)Katar.

    @MigglBetroffen? Nahezu JEDE Branche. Hab wg Krankheit seit Corona primär mit KKH+Ärzten zu tun, letzte Datenschutzerklärung eines Facharztes war eine einzige Risikoübertragung hin zum Patienten – inklusive "Freigabe" für Messengerdienste zur Speicherung & Übermittlung von Patienten-PbD in jeder Form bis zur Diagnose durch Praxis. Grobe Argumentation: „Das ist modern und effizient":
    Der eine Arzt versucht eine nicht mehr an DSGVO gebundenen Ausleitung aller meiner Daten mit Rechtsverzicht. Dem nächsten ist es egal, wenn er ohne Absicherung in der Praxis wild am PC "googelt" und mir auf dubiosen Seiten mit Online-Casino-Werbung die Beschaffung seltener Medikamente aus Tchechien oder China vorschlägt – mit Task von Praxissoftware offen, ohne saubere Konfiguration der Rechner, ohne Firewall, ohne Netztrennung gefordert durch seine Telematikinfrastruktur im selben Netz, … ohne Sachverstand.
    @ Blupp – der erste Arzt hat meinen „tötenden Blick" nicht verstanden … was tun?
    Vor Jahren ergänzte ich die Betrachtung im Risikomanagement lt. Literatur: Dort gibt es die Gruppen Risikoaffin und Risikoavers. Neu hinzugekommen: Risiko-IGNORANT

    @ Günter – zu „… vermutlich Meta in der Pflicht" – im ersten Schritt wohl eher nicht, mE sehe ich bspw die „Anwendung einer umgekehrten Beweislast" weniger. Aus der Praxis heraus würd ich erwarten, dass bei solchen Vorfällen wohl zuerst die (technische) Klärung und Ermittlung wichtig ist. Dann bei vorliegenden oder festgestellten Defiziten die Verantwortung & Umsetzung der Haftungsfrage – das Kind ist da jedoch schon längst im Brunnen.
    Den einzigen Weg zu Lösung sehe ich in Awareness , immer wieder aufklären, weitere Datenschutzanfragen, Eskalationen, und mehr denkende User ?
    Bei Behörde? Anzeigen beim B-DSB, Anfragen der Auskunfsrechte? Für Ideen bin ich offen.

  4. Herr IngoW sagt:

    Komplette Sperrung wäre wohl angebracht, das gilt auch für "Twitter" und sonstigen Unsinn an diesen Diensten.

  5. Norddeutsch sagt:

    @Luzifer, @ Anonymous – absolut korrekt, mM ist das API Top-3 Leak. Tel-NR ist jedoch immer noch ein Identifikation ermöglichendes personen-beziehbares Datum. Hinzu kommen mE zwei Dinge: Leichtfertigkeit der User, ebenso Ignoranz der Betreiber.
    Es ist völlig ok, wenn diese pbD dem Anrufer+Netzbetreiber notwendigerweise zur Verfügung stehen – die Gefahr besteht eher im automatisierten oder selektivierbaren Missbrauch durch Kriminelle oder Datenauswertende Unternehmen a'la Google, Meta und Co.
    Vorher gibt es bei API-Extraktion die Verdichtung, Konzentration oder Korrelation des Datenbestandes (sinngemäss also ETL genauso professionell wie zB bei einem DataWareHouse).

    Woher kommen solche API-Daten aus Erfahrung?

    Der geschätzte Blog-Betreiber sagte anderswo mal, dass er einige Leaks der Masse wegen nicht ansprechen kann. Stimmt. Es sind zu viele. Alleine bei derzeit genutzten APIS werte ich von auditierten bei mir im Test-Lab mehr als 3/4 defizitär oder sogar geleakt und bereits abgeschöpft.

    Es gibt Einige – selbst Payment-Provider – die schon seit 3-4 Jahren „kostenloses abgreifen aller Transaktionsdaten" über API nicht unterbinden. Oft einzige vorgenommene Relativierung: Limitierung falscher oder gesamter Webserveranfragen pro Intervall (Admins denken jetzt korrekt an Parameter wie Maxlimit, Maxrequests oder Dinge aka fail2ban per Dienst). Jedoch bei geleakten Auth-Keys für das API? dann ruft das Script halt nur alle (random(60)) s einen Datensatz ab, auch gern parallel via volatilen IPs – bingo.

    @ Hr IngoW – komplette Sperrung halte ich mit organisatorischer klarer (Verbots-)regelung wie bei @ Miggl oft für wünschenswert – jedoch ist das nicht immer trivial. Bei vielen APIs wäre dies wohl Outgoing auf 443 zu einer unbekannt hohen Anzahl von Relays – zu pflegen pro Applikation an Firewall, Filter oder IDS. Problematisch für mobile Geräte. Auch kaum ein Anbieter, der hier schon aus Eigeninteresse oder Sabotageschutz alle seine Endpoints aktuell offenlegt, dann sind viele zusätzlich dynamisch. Partitielle Ausnahmen gibts: Microsoft mit zB W10 21H2-Enterprise-Endpoints: https://learn.microsoft.com/en-gb/windows/privacy/manage-windows-21h2-endpoints. Die sind wiederum jedoch oft nicht vollständig, die Ausfallsicherheit von vielen Applikationen sucht bei Timeout den nächsten erlaubten Server irgendwo im CDN XY.
    Insofern passt hier wohl nur ein sauber abgestimmtes Gesamtpaket: Verbote, Maßnahmen, Software, Administration.

    … Konkrete „leakige" URL-Details mag ich hier nicht nennen. Einige Beispiele von API-Leaks und Folgen jedoch:

    API – Risiko allgemein: https://threatpost.com/payment-api-exposes-payment-data/174825/
    API – Leaks: https://www.linkedin.com/pulse/pelotons-data-leak-reminder-invest-api-security-
    API – POS-Provider: https://techwireasia.com/2022/06/almost-1-million-customers-data-leak-by-malaysian-pos-and-inventory-management-software-provider-storehub/
    API – Leaks: https://www.synopsys.com/blogs/software-security/hacks-leaky-apis/
    API – 11 Mio User: https://checkmarx.com/blog/api-security-exposed-api-endpoint-leaks-over-11-million-telco-customers-data/
    API – S3 mit Beisp.: https://www.vpnmentor.com/blog/report-paymytab-leak/

  6. Norddeutsch sagt:

    Anmerkung: Natürlich hab ich oben eher die „User oder Unternehmensbrille auf" – der Dienst-API-Anbieter müsste genauso ran: API+Software-Management a'la PDCA & KVP, Monitoring, Haftung, NO Static Keys, Audit …

    Und schon wieder einer – diesmal die Polizei – die Vögel zwitscherten ans Krankenbett jedoch noch nichts über API oder Einbruchsart. Polizei / Artikel nennt Zugriff auf Daten von 2006 bis 2022 … die Anzahl lassen sie vorsichtig mal weg ?? :-(
    Mal gucken ob blog.fefe das schon hat…
    Polizei Belgienhttps://www.vrt.be/vrtnws/nl/2022/11/24/hacking-politie-zwijndrecht/

    Keiner verbietet EUCH übrigens ein API bei EUCH mit wireshark bei EUREM Programm zu identifizieren und nicht-invasiv einfach mal zu schauen … Das sind auch nur Nullen und Einsen und ne URL …

    …und lasst uns nicht auf die Idee kommen, Euch aus Verzweifelung an die Firmen-Smartphones der GF zu kleben – oder mein eines Ölgemälde aus Protest mit Kartoffelbrei zu beschmeissen… Ich mag konstruktive Lösungen mit Zielumsetzung.

  7. Bernie sagt:

    Ist jetzt zwar Off-topic und nicht dramatisch, aber aus reiner Neugierde die Frage:
    Warum wurde in diesem Beitrag der Link auf den Artikel bzw. die Website von Cybernews entfernt?
    Heute morgen war dieser noch vorhanen.
    In dem Beitrag von heise Security (Stand heute, 10:55 Uhr) wird der Link weiterhin angeboten.

    • Günter Born sagt:

      Danke für den Hinweis – ist unbeabsichtigt rausgefallen. Der Grund: Der Link auf den Cybernews-Artikel wurde mir von einem Plugin als gebrochen angezeigt – und ich habe den irrtümlich bereinigen lassen (die haben wohl externe Zugriffe gesperrt). Ich habe den Link restauriert. Niederungen der Bloggerei …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.