Es ist ein Horroszenario für viele Nutzer: Die eigene Telefonnummer in den Google-Suchresultaten. Und die Ursache liegt dann gleich noch beim Messenger, der zum Facebook-Konzern gehört: WhatsApp. Doch, wie genau kann das passieren? Was führt dazu, dass die eigene Handynummer in den Suchresultaten auftaucht?
Ein Forscher fand heraus, dass Telefonnummern, die an WhatsApp-Konten gebunden sind, in der Google-Suche öffentlich indiziert werden. Seiner Ansicht nach ist das ein „Datenschutzproblem“ von WhatsApp. Er warnt davor, dass eine WhatsApp-Funktion namens „Click to Chat“ die Handynummern der Nutzer gefährdet, indem sie von der Google-Suche indiziert werden, so dass sie jeder finden kann. Facebook, der Konzern hinter WhatsApp, spielt das Ganze wiederum ziemlich runter und meint, dass dies keine große Sache sei und dass die Suchergebnisse nur das offenbaren, „was die Nutzer ohnehin schon veröffentlicht haben“.
Der Forscher, der die Lücke entdeckt hat, ist ein so genannter Bug-Bounty-Programm-Jäger. Er sucht Sicherheitslücken in den bekannten Apps und Diensten grosser Unternehmen und meldet ihnen diese – denn Sicherheitslücken bringen unter Umständen sehr viel Geld. Er heisst Athul Jayaram und bezeichnet die Situation als „Sicherheitsfehler, der die Privatsphäre der WhatsApp-Benutzer gefährdet“.
Click to Chat bietet Websites eine einfache Möglichkeit, eine WhatsApp-Chat-Sitzung mit Website-Besuchern zu starten. Dazu wird ein Quick Response (QR)-Codebild (das über Drittanbieterdienste und nicht von WhatsApp selber erstellt wurde) mit der WhatsApp-Handynummer des Website-Besitzers verknüpft. Dadurch kann ein Besucher den QR-Code der Website scannen oder auf eine URL klicken, um eine WhatsApp-Chat-Sitzung zu starten- ohne dass der Besucher die Nummer selbst wählen muss.
Das Problem sei, so Jayaram, dass diese Mobilfunknummern auch in den Google-Suchergebnissen auftauchen können, weil Suchmaschinen Click to Chat-Metadaten indexieren. Die Telefonnummern werden als Teil einer URL-Zeichenfolge angezeigt (https://wa.me/<telefonnummer>), was nach Ansicht des Forschers dazu führt, dass die Mobiltelefonnummern der WhatsApp-Nutzer im Klartext angezeigt werden. Die Domäne „wa.me“ ist übrigens Eigentum von WhatsApp selber. Jayaram argumentiert, dass es für Spammer einfacher wird, legitime Telefonnummern zusammenzustellen. Auch Call-Center könnten so an reale Nummern kommen. Dank eines speziell erstellten Suchstrings der Domain https://wa.me/ fand der Forscher heraus, dass Google rund 300’000 WhatsApp-Telefonnummern indexiert hat.
Nummer ja, Name nein
Da WhatsApp Benutzer anhand von Telefonnummern identifiziert (im Gegensatz zu Benutzernamen oder E-Mail-IDs), enthüllte die Google-Suche nur die Telefonnummern und nicht die Identitäten der Benutzer, mit denen sie verbunden sind, erklärte Jayaram. Der Forscher gab jedoch an, dass er auch die Profilbilder der Benutzer auf WhatsApp zusammen mit ihren Telefonnummern sehen konnte, indem er einfach auf die URLs der Telefonnummern der Google-Suche klickte, die ihn zu ihren WhatsApp-Profilen führten. Ein entschlossener Hacker könnte so das Profilbild des Benutzers durch eine umgekehrte Bildsuche suchen, in der Hoffnung, genügend Anhaltspunkte zur Feststellung der Identität des Benutzers zu sammeln, was wiederum dank Facebook, Instagram und Co. in vielen Fällen kein Problem darstellen sollte, da User oftmals das gleiche Profilbild auf all ihren Diensten verwenden oder es zumindest verwendet hatten.
WhatsApp seinerseits beschreibt „Click to Chat“ als eine komfortable Lösung, der es Benutzern ermöglicht, einen Chat mit jemandem zu beginnen, ohne dessen Telefonnummer im Adressbuch des Telefons gespeichert zu haben. Jayaram wiederum argumentiert, dass sich viele Click to Chat-Nutzer nicht bewusst sind, dass ihre Telefonnummern im Klartext gespeichert, von der Google-Suche indiziert und über eine relativ einfache Suchanfrage auffindbar sind.
Die Nutzer reagieren gemischt
Während einige Nutzer froh darüber waren, dass sie von Jayaram kontaktiert wurden, sehen es andere Nutzer nicht so dramatisch. „Meine Telefonnummer ist im Internet öffentlich. Es besteht keine Notwendigkeit, WhatsApp zu kontaktieren“, erklärte ein Benutzer. Er argumentiert, dass Click to Chat bequem sei und es für die Besucher seiner Website einfach mache. „Ich habe es getan, um es den Leuten leicht zu machen, mich zu kontaktieren. Überraschenderweise erhalte ich nur sehr wenige Spam-Anrufe“, sagte er.
Andere wussten jedoch nicht, dass ihre Nummern öffentlich sind. „Nein, ich wollte meine Nummer überhaupt nicht öffentlich machen“, sagte ein Benutzer gegenüber Threatpost. „Ich habe WhatsApp für mein Unternehmen eingerichtet, damit die Leute direkt schreiben können, ohne meine Nummer zu erhalten.
WhatsApp zuckt mit den Schultern
Nachdem Jayaram das Problem am 23. Mai entdeckt hatte, kontaktierte er Facebook über dessen Bug-Bounty-Programm . Facebook antwortete ihm jedoch, dass Datenmissbrauch nur für Facebook-Plattformen und nicht für WhatsApp gedeckt sei, womit der Bug nicht via Bug-Bounty-Programm läuft:
„Wir schätzen den Bericht dieses Forschers und die Zeit, die er sich genommen hat, um ihn uns mitzuteilen, aber er hat sich nicht für eine Prämie qualifiziert, da er lediglich einen Suchmaschinenindex mit URLs enthielt, die WhatsApp-Benutzer zur Veröffentlichung ausgewählt haben. Alle WhatsApp-Benutzer, einschließlich Unternehmen, können unerwünschte Nachrichten mit nur einem Tastendruck blockieren“,
WhatsApp zuckt also mit den Schultern und spielt die Sache runter – genauso wie der Mutterkonzern Facebook. Sind ja nur Userdaten und die User können Anrufe ja easy peasy blockieren, wenn sie diese nicht möchten. Der Datenschutz wird hier wohl mal wieder links liegen gelassen – da es, gemäss Facebook und WhatsApp ja keine grosse Sache sei, wäre die Lösung für solch grosse Tech-Konzerne eigentlich doch auch „keine grosse Sache“ – oder?
Was meint Ihr? Selber Schuld oder ein kleiner Datenschutzskandal? Schreibt es uns in die Kommentare.
Folgt WindowsUnited auf Telegram, Twitter und YouTube, um spannende Artikel und Videos zu erhalten:
Wenn man seinen WhatsApp-Zugang veröffentlicht, sollte jedem klar sein, dass die Kennung die eigene Telefonnummer ist, egal ob als Link, im Impressum oder als QR-Code. Wer das nicht blickt, sollte besser keine Website unterhalten oder sonstige öffentlichen Profile von sich.
Naja, WhatsApp könnte auch entsprechend darauf hinweisen und nicht einfach nur mit den Schultern zucken…
Schaut auch mal auf euren Liebling.
https://www.kuketz-blog.de/telegram-sicherheit-gibt-es-nur-auf-anfrage-messenger-teil3/
Da wir unseren „Liebling“ hauptsächlich als Redaktions-Channel nutzen, kein Problem. Wenn du wirklich einen sicheren Messenger verwenden willst, musst du eh zu Threema greifen. Alle anderen sind nicht wirklich sicher.
https://www.netzwoche.ch/news/2020-06-03/im-streit-zwischen-threema-und-dem-bund-steht-es-10-fuer-den-datenschutz
Wenn ich Threema „sicher“ betreiben will kann die Funktionalität wohl kaum mehr mit einem anderen Messenger verglichen werden. Ich wüsste z.B. nicht was Threema, mit voller Funktionalität, z.B. Kaizala voraus hat. Vor allem wenn man Kaizala mit einem MS Tenant verknüpft kann man das sehr fein in den Rechten administrieren. In einer Eltern-Chat Gruppe kann ich mit Kaizala in Verbindung mit einem Business Tenant z.B. eine Gruppe erstellen in der für alle anderen die „Nummern“ nicht sichtbar sind, gepostete Inhalte weder kopiert noch weitergeleitet werden können und, wenn man jemanden aus einer solchen Gruppe entfernt, automatisch alle Chat-Inhalte vom Device… Weiterlesen »
Zu spät. Inzwischen haben wir alle, durch jahrelange Nutzung des Internets und seiner Dienste, unsere teilweise sehr individuellen Daten so weit verbreitet, dass das nicht mehr eingefangen werden kann. Nur wer von Anfang an, auf Dienste wie WhatsApp verzichtet hat oder mit Fake-Identitys und Pseudonymen gearbeitet hat, ist noch relativ auf der sicheren Seite. Dann wäre er aber auch nicht öffentlich auffindbar, selbst wenn er es möchte. In gewisser Weise dürfen wir uns nun nicht mehr beschweren, denn wir haben zumeist selbst Schuld, weil wir zu offen und vertrauensvoll mit unseren Daten umgegangen sind.
Stimme ich dir leider vollkommen zu. Gerade Dienste wie Facebook oder aktuell TikTok machen nicht einmal ein Geheimnis um die Art der Datennutzung. Es ist eben den Leuten so lange egal, bis es sie selbst trifft.