Sicherheitsexperten machten jüngst eine schockierende Entdeckung. Tausende Daten von WhatsApp-Nutzer:innen waren öffentlich einsehbar. Die Lücke wurde zwar geschlossen, aber die Experten fordern nun mehr Datensicherheit.
Auf WhatsApp entstehen regelmäßig viele Geschichten. Nutzer:innen schicken sich Fotos, Nachrichten und teilen intime Gedanken miteinander. Wäre es nicht schön, die Texte und Bilder für die Ewigkeit in Form eines Buches festzuhalten? Das ermöglicht der Anbieter "zapptales". Hier werden aus den Geschichten gedruckte Romane. Leider konnten monatelang Millionen Fremde die Inhalte im Netz sehen.
WhatsApp News aktuell: Daten von Nutzer:innen durch Token offen gelegt
Die Inhalte entdeckten Sicherheitsexperten von "Zerforschung" bei einer Recherche. Sie testeten das Angebot und waren überrascht, als sie auf 21 Terabyte WhatsApp-Daten von zahlreichen Nutzer:innen zugreifen konnten. Denn um die Chatverläufe auf der Plattform einzulesen, wird dieWeb-Oberfläche WhatsApp Web genutzt. Um darauf wiederum zuzugreifen, mussten Nutzer:innen ein spezielles Programm installieren, das eine Sicherheitslücke in Form eines Token beinhaltete.
WhatsApp-Daten geleakt: Gefahr durch Schadsoftware drohte
Der entdeckte Datensatz der unter "chat.zapptales.com" zu sehen war, umfasste neben Informationen, fertige Fotobücher und Versandadressen offen. Insgesamt waren69.000 Accounts betroffen. Die Experten hätten "eine manipulierte App-Version hochladen" und so allen Nutzer.innen ein Schadsoftware auf das Gerät laden können. "Sei es eine App, die die ausgewählten Chats nicht nur an zapptales schickt, sondern auch das ganze Nachrichtenarchiv an einen Server des Angreifers – oder natürlich ein Verschlüsselungs-Trojaner", schreiben sie auf ihrem Blog.
Sicherheitsexperten fordern bessere Vorkehrungen nach Whats-App-Datenlücke auf "Zapptales"
Zerforschung meldete die Sicherheitslücke und sie wurde innerhalb eines Tages geschlossen. Glücklicherweise haben sie und das Bundesamt für Sicherheit in der Informationstechnik (BSI) sichergestellt, dass nur "Zapptales" und die Sicherheits-Experten auf die Daten zugreifen konnten. Für die Kund:innen war das aber nicht klar, weil "Zapptales" nicht die Datenlücke thematisierte. "Allerdings werden die Daten nicht so verschlüsselt, dass Zapptales sie nicht mehr lesen könnte", schreiben die Experten im Post. "Wir finden dieses Werbeversprechen irreführend, denn es suggeriert, dass die Chats nochmal besonders gesichert wären und so auch vor dem Zugriff von Zapptales geschützt."
Sie empfehlen, dass die Daten erst in der Druckerei genutzt werden können. Das erhöhe die Datensicherheit. "Zapptales" will zukünftig die Daten mit einem Pin-Code schützen. Bis dahin sind diese aber abrufbar auf einem Server, um sie durch einen Link oder QR-Code abzurufen.
Schon gelesen? Millionen Nutzern droht die Sperre! Sind Sie betroffen?
Folgen Sie News.de schon bei Facebook und YouTube? Hier finden Sie brandheiße News, aktuelle Videos, tolle Gewinnspiele und den direkten Draht zur Redaktion.
bos/sig/news.de
Erfahren Sie hier mehr über die journalistischen Standards und die Redaktion von news.de.