WhatsApp: Script scannt Nummern, zeigt Bild und Status der Nutzer

WhatsApp steht oft im Mittelpunkt der Berichterstattung, wenn es um Datenschutz und ähnliches geht. Der beliebte Messenger stand schon vor seiner Übernahme durch Facebook im Fokus und ist immer noch eines der liebsten Kinder der Datenschützer. Neulich gab es ja erst ein entsprechendes EU-Urteil zum Datentausch. Interessant ist, dass WhatsApp seit Jahren eine Schnittstelle hat, die sich dazu nutzen lässt, Informationen über Nutzer auszulesen. Dazu gehört beispielsweise das Anzeigen eines Profilbildes oder des Status.

Vereinfacht gesagt kann ich einen Kontakt von Hand hinzufügen und könnte ja sehen, welches Profilbild er hat – und was sein Status ist. Dies sieht man natürlich nur, wenn man entsprechende Datenschutzeinstellung nicht geändert hat (Einstellungen > Account > Datenschutz). Der niederländische Sicherheitsforscher Loran Kloeze hat nun ein Script veröffentlicht, mit dem sich jeder (!!!) eine Datenbank zusammenschustern kann. Sein Script erlaubt das Eingeben einer Range von Telefonnummern, beispielsweise 4917627505077 –  4917627505177.

Danach zeigt das Script bei den aktiven Nutzern, die ihre Datenschutzeinstellungen nicht geändert haben, das Profilbild und den Status an. Was man damit nun anstellen kann, überlasse ich eurer Phantasie. Loran Kloeze hat Facebook über diesen Umstand benachrichtigt, bekam allerdings als Antwort, dass man dies nicht als Sicherheitslücke einstufe.

Das Script ist selbst für Einsteiger anwendbar. WhatsApp im Browser öffnen, Entwicklertools aufrufen und den Code in die Console werfen. Es erscheint eine Oberfläche, in der man den Bereich mit den Telefonnummern definiert, gefolgt von der Anzeige der Profilbilder und der Statusmitteilungen. Per Klick sieht man die Profilbilder groß im Browser. Falls ihr euch fragt, ob das Ganze auch wirklich funktioniert: Jau, habe es eben selbst ausprobiert.

(danke nina!)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

22 Kommentare

  1. Script schon wieder weg?

  2. Ich muss sagen, dass scream in der Url gefällt mir 🙂

  3. @joe: Und nun liest du den ersten Absatz noch einmal genau 😉

  4. Ups, überlesen dass du da auch schon drauf verlinkst, sorry. Da war ich wohl zu schnell. Aber das einzig neue ist jetzt, dass er das über JavaScript macht. Die „Lücke“ als auch Facebooks/WhatsApps Standpunkt dazu haben sich in den letzten 3 Jahren nicht geändert.

  5. Also ich finde den Sicherheitsforscher übertrieben, der sich da jetzt aufspielt was er doch für ne tolle Lücke gefunden hat.

  6. Naja, wenn die Datenschutzeinstellungen auf anzeigen für „Jeder“ steht, muss man sich nicht wundern, dass man in dieser Liste erscheint. Ein bisschen Mitdenken sollte man doch von jedem User erwarten können, so dass die Einstellungen auf „Meine Kontakte“ oder „Niemand“ geändert werden.
    Als Sicherheitslücke sehe ich das nicht an. Ist ähnlich, als wenn man sein Facebook-Profil auf „öffentlich“ stellt und dazu noch einstellt, dass das Profil in Suchmaschinen ausserhalb von Facebook angezeigt wird.

  7. Ok, gut zu wissen, dann blockt die arbeit nur den gist-link..

  8. @BeardMan

    uns was soll das dann? Ich hab die Nummern von jemanden nicht aber der meine, Darf dann aber mein Bild nicht sehen nur weil ich ihn nicht abgespeichert hab???
    Echt tolle Idee, das ist was bei WA auch noch auf den Sack geht. Gruppen mit x-leuten, siehst eh sogut wie nie, dann hast net mal deren Gesicht damit du weißt um wenn es sich in der Gruppe handelt. Echt Tolle idee. Warum nicht gleich das Phone in den Müll schmeißen und eine Alufolienkappe aufsetzen?

  9. Das Script funktioniert super…. Zum kotzen. Sicher, dass die Datenschutzeinstellungen hierbei trotzdem greifen?

  10. Es ist nur ein Bild!
    Ich laufe in der Gegend auch nicht (immer) mit einer Papiertüte über meinem Kopf rum.

    Gefällt es mir nicht, dass jeder mein Bild sehen kann, verwende ich entweder ein Symbolfoto oder schalte dies in den Datenschutzeinstellungen aus.

  11. Als wenn diese „Erkenntnisse“ noch einen einzigen WA-Nutzer schrecken würde! Wer heute noch WA verwendet, hat unter Beweis gestellt, dass er über keinen Zugang zum Thema Datensicherheit verfügt … insofern: so what?

  12. Das in Verbindung mit der Bildersuche von Google und man könnte Mal schauen wieviele Namen man Telefonnummern zuordnen könnte.

  13. @Melle
    „wer heute noch WhatsApp nutzt“…es sind 37 Mio. alleine in Deutschland, natürliche alle nicht so schlau wie du und nicht an Datenschutz interessiert. LOL 😀

  14. Wenn ich es das richtig verstanden habe, ist dieses Script der Traum für Werbenetzwerke und Spammer. Man bekommt auf einen Rutsch Tausende von verifizieren Handynummern mit Bild und Status. Und Facebook ist das egal. Sorry, aber wer da noch freiwillig seine Daten (und ohne Erlaubnis die von Dritten!!!) an Facebook gibt, dem ist wohl nicht mehr zu helfen. Jaja, ich hab nichts zu verbergen.

  15. Ich verstehe eh nicht, wozu man bei Whatsapp sein Bild, Info, Online Status auf öffentlich macht? Damit die gelöschten Kontakte nichts davon mitbekommen?
    Für was anderes macht es doch null Sinn.

  16. @BeardMan

    So ist es, minus Ironie.

    Bequemlichkeit tötet kluge Entscheidungen. Zumindest für 37 Mio. in Deutschland. Und jeder sagt: Aber meine Freunde erreiche ich nur über WhatsApp.

  17. @Joe
    Das mag vielleicht auf die zutreffen, die ihr Profil nicht entspechend schützen, so dass es öffentlich sichtbar ist. Du willst mir doch jetzt nicht erzählen wollen, dass dies alle 37 Mio. WhatsApp-Nutzer in Deutschland betrifft? Ach ja, ich vergass, dass man ja als WhatsApp-Nutzer grundsätzlich zu dumm ist, um datenschutzrechliche Dinge zu verstehen und umzusetzen. Das betrifft natürlich auch solch datenschützungswürdige Unterhaltungen unter Freunden wie: „Hey, gehen wir heute Abend ein Bier trinken?“. LOL

  18. @Joe
    Dein letzter Satz ist leider wahr. Ich habe über einen Monat das Experiment ohne WhatsApp gemacht. Ich habe bestimmte Leute nicht mehr erreichen können und ich wurde kaum noch angeschrieben. Im Endeffekt konnte ich eine einzige Person überzeugen in diesem Fall über Telegram zu schreiben.

  19. Verstehe die Aufregung nicht. Es sind multiple Schritte notwendig, bis man mit seiner Fresse in so ner Liste erscheint. Datenschutz! *Kettenrasseln* Machen wir als nächstes die Autohersteller verantwortlich, wenn jemand betrunken ein Rotlicht überfährt? Datenschutz schützt nicht vor menschlicher Dummheit.

  20. @Levin, man musst da einfach konsequent sein. Ich habe seit anfangan Telegram (Als die Android Version draußen war) Und seit 1-2 Jahren WhatsApp nur noch aufm Tablet welches ich mal alle paar Wochen checke um den paar die es noch nicht wissen zu schreiben das ich nicht mehr dort bin. Alle meine Relevaten Kontakte haben jetzt Telegram , der rest Facebook. Ich habe nur eine Freundin mit der ich SMS schreiben muss 😀

    Und irgendwann wird der nächste Datenskandal bei WA kommen und wieder hast du 10 Leute mehr bei T 😉

    // Z U M T H E M A
    Zum Thema Datenschutz bei WA. Mich stört es viel mehr das alle meine Handynummer haben sobald ich in irgend eine Gruppe gesteckt werde. Ich besitze jetzt von 60 Komunitonen die Handynummer, großteil inkl Vorname. Dank einem Mini-Crawler wahr es nicht mal viel Arbeit diese alle abzuspeichern.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.