WhatsApp: Script scannt Nummern, zeigt Bild und Status der Nutzer

WhatsApp steht oft im Mittelpunkt der Berichterstattung, wenn es um Datenschutz und ähnliches geht. Der beliebte Messenger stand schon vor seiner Übernahme durch Facebook im Fokus und ist immer noch eines der liebsten Kinder der Datenschützer. Neulich gab es ja erst ein entsprechendes EU-Urteil zum Datentausch. Interessant ist, dass WhatsApp seit Jahren eine Schnittstelle hat, die sich dazu nutzen lässt, Informationen über Nutzer auszulesen. Dazu gehört beispielsweise das Anzeigen eines Profilbildes oder des Status.

Vereinfacht gesagt kann ich einen Kontakt von Hand hinzufügen und könnte ja sehen, welches Profilbild er hat – und was sein Status ist. Dies sieht man natürlich nur, wenn man entsprechende Datenschutzeinstellung nicht geändert hat (Einstellungen > Account > Datenschutz). Der niederländische Sicherheitsforscher Loran Kloeze hat nun ein Script veröffentlicht, mit dem sich jeder (!!!) eine Datenbank zusammenschustern kann. Sein Script erlaubt das Eingeben einer Range von Telefonnummern, beispielsweise 4917627505077 –  4917627505177.

Danach zeigt das Script bei den aktiven Nutzern, die ihre Datenschutzeinstellungen nicht geändert haben, das Profilbild und den Status an. Was man damit nun anstellen kann, überlasse ich eurer Phantasie. Loran Kloeze hat Facebook über diesen Umstand benachrichtigt, bekam allerdings als Antwort, dass man dies nicht als Sicherheitslücke einstufe.

Das Script ist selbst für Einsteiger anwendbar. WhatsApp im Browser öffnen, Entwicklertools aufrufen und den Code in die Console werfen. Es erscheint eine Oberfläche, in der man den Bereich mit den Telefonnummern definiert, gefolgt von der Anzeige der Profilbilder und der Statusmitteilungen. Per Klick sieht man die Profilbilder groß im Browser. Falls ihr euch fragt, ob das Ganze auch wirklich funktioniert: Jau, habe es eben selbst ausprobiert.

(danke nina!)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram. PayPal-Kaffeespende.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

22 Kommentare

  1. Script schon wieder weg?

  2. Ich muss sagen, dass scream in der Url gefällt mir 🙂

  3. @joe: Und nun liest du den ersten Absatz noch einmal genau 😉

  4. Ups, überlesen dass du da auch schon drauf verlinkst, sorry. Da war ich wohl zu schnell. Aber das einzig neue ist jetzt, dass er das über JavaScript macht. Die „Lücke“ als auch Facebooks/WhatsApps Standpunkt dazu haben sich in den letzten 3 Jahren nicht geändert.

  5. Also ich finde den Sicherheitsforscher übertrieben, der sich da jetzt aufspielt was er doch für ne tolle Lücke gefunden hat.

  6. Naja, wenn die Datenschutzeinstellungen auf anzeigen für „Jeder“ steht, muss man sich nicht wundern, dass man in dieser Liste erscheint. Ein bisschen Mitdenken sollte man doch von jedem User erwarten können, so dass die Einstellungen auf „Meine Kontakte“ oder „Niemand“ geändert werden.
    Als Sicherheitslücke sehe ich das nicht an. Ist ähnlich, als wenn man sein Facebook-Profil auf „öffentlich“ stellt und dazu noch einstellt, dass das Profil in Suchmaschinen ausserhalb von Facebook angezeigt wird.

  7. Ok, gut zu wissen, dann blockt die arbeit nur den gist-link..

  8. @BeardMan

    uns was soll das dann? Ich hab die Nummern von jemanden nicht aber der meine, Darf dann aber mein Bild nicht sehen nur weil ich ihn nicht abgespeichert hab???
    Echt tolle Idee, das ist was bei WA auch noch auf den Sack geht. Gruppen mit x-leuten, siehst eh sogut wie nie, dann hast net mal deren Gesicht damit du weißt um wenn es sich in der Gruppe handelt. Echt Tolle idee. Warum nicht gleich das Phone in den Müll schmeißen und eine Alufolienkappe aufsetzen?

  9. Das Script funktioniert super…. Zum kotzen. Sicher, dass die Datenschutzeinstellungen hierbei trotzdem greifen?

  10. Es ist nur ein Bild!
    Ich laufe in der Gegend auch nicht (immer) mit einer Papiertüte über meinem Kopf rum.

    Gefällt es mir nicht, dass jeder mein Bild sehen kann, verwende ich entweder ein Symbolfoto oder schalte dies in den Datenschutzeinstellungen aus.

  11. Als wenn diese „Erkenntnisse“ noch einen einzigen WA-Nutzer schrecken würde! Wer heute noch WA verwendet, hat unter Beweis gestellt, dass er über keinen Zugang zum Thema Datensicherheit verfügt … insofern: so what?

  12. Das in Verbindung mit der Bildersuche von Google und man könnte Mal schauen wieviele Namen man Telefonnummern zuordnen könnte.

  13. @Melle
    „wer heute noch WhatsApp nutzt“…es sind 37 Mio. alleine in Deutschland, natürliche alle nicht so schlau wie du und nicht an Datenschutz interessiert. LOL 😀

  14. Wenn ich es das richtig verstanden habe, ist dieses Script der Traum für Werbenetzwerke und Spammer. Man bekommt auf einen Rutsch Tausende von verifizieren Handynummern mit Bild und Status. Und Facebook ist das egal. Sorry, aber wer da noch freiwillig seine Daten (und ohne Erlaubnis die von Dritten!!!) an Facebook gibt, dem ist wohl nicht mehr zu helfen. Jaja, ich hab nichts zu verbergen.

  15. Ich verstehe eh nicht, wozu man bei Whatsapp sein Bild, Info, Online Status auf öffentlich macht? Damit die gelöschten Kontakte nichts davon mitbekommen?
    Für was anderes macht es doch null Sinn.

  16. @BeardMan

    So ist es, minus Ironie.

    Bequemlichkeit tötet kluge Entscheidungen. Zumindest für 37 Mio. in Deutschland. Und jeder sagt: Aber meine Freunde erreiche ich nur über WhatsApp.

  17. @Joe
    Das mag vielleicht auf die zutreffen, die ihr Profil nicht entspechend schützen, so dass es öffentlich sichtbar ist. Du willst mir doch jetzt nicht erzählen wollen, dass dies alle 37 Mio. WhatsApp-Nutzer in Deutschland betrifft? Ach ja, ich vergass, dass man ja als WhatsApp-Nutzer grundsätzlich zu dumm ist, um datenschutzrechliche Dinge zu verstehen und umzusetzen. Das betrifft natürlich auch solch datenschützungswürdige Unterhaltungen unter Freunden wie: „Hey, gehen wir heute Abend ein Bier trinken?“. LOL

  18. @Joe
    Dein letzter Satz ist leider wahr. Ich habe über einen Monat das Experiment ohne WhatsApp gemacht. Ich habe bestimmte Leute nicht mehr erreichen können und ich wurde kaum noch angeschrieben. Im Endeffekt konnte ich eine einzige Person überzeugen in diesem Fall über Telegram zu schreiben.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.