Zehntausende WhatsApp-Nachrichten ungeschützt im Netz: Schwere Sicherheitslücke bei beliebtem Dienst entdeckt

Etwa ein Jahr lang lagen die Nachrichten tausender WhatsApp-Nutzer ungeschützt im Internet. Das lag an einem Angebot des Münchner Startups Zapptales. Hier haben wir die Einzelheiten zusammengefasst.

Das Münchner Startup Zapptales bietet Kunden die Möglichkeit, ihre Chatverläufe in Buchform zu bringen. Auf der Website des Unternehmens heißt es: «Eure Lovestory, der Chat mit deiner besten Freundin, ein modernes Babybuch oder ein ganzes Jahr mit deiner Familie… Es gibt viele Momente, die es verdienen, festgehalten zu werden.» Häufig dürfte dieses Angebot für ein Geschenk in Anspruch genommen werden.

Dafür muss man die entsprechenden Chatinhalte aus Diensten wie WhatsApp, iMessage, Instagram, Facebook, Telegram oder Threema bei Zapptales hochladen. Wie der «Spiegel» berichtet, gab es hierbei nun aber lange Zeit ein gravierendes Problem: Die Entwickler hatten die Zugangsschlüssel zu den entsprechenden Datenbanken mit in ihre Webanwendung geschrieben.

Dadurch hätten Hacker Zugang zu sämtlichen Chatlogs, Bilder und PDFs der Bücher erhalten können. Da in diesen QR-Codes zu Videos und Sprachnachrichten abgedruckt sind, hätten die Angreifer auch darauf Zugriff gehabt.

Kaspersky Total Security 2022 bei Amazon bestellen

Chats tausender Whats-App-Nutzer wegen Sicherheitslücke im Netz frei einsehbar

Die Chats vieler WhatsApp-Nutzer lagen für viele Monate nahezu ungeschützt im Netz.

CHIP

Die Lücke wurde von den Sicherheitsexperten der Gruppe Zerforschung entdeckt. Es seien etwa 69.000 Accounts betroffen gewesen. Neben den Entwicklern selbst wurden auch dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und der zuständigen bayerischen Landesdatenschutzaufsicht die Informationen weitergeleitet.

Inzwischen sei das Problem allerdings behoben und das Abgreifen der Daten nicht mehr möglich. Glücklicherweise sei auch davor die Lücke nie ausgenutzt worden. Das geht aus den entsprechenden Log-Files hervor.

Bei Zapptales möchte man aber auch darüber hinaus noch für mehr Sicherheit sorgen. In einem Blogbeitrag heißt es: «Um eine solche Fehlerquelle in Zukunft zu vermeiden, haben wir außerdem zusätzliche Prüfschleifen für sicherheitskritische Codes eingeführt.»

#contentad-top-adsense-1 { margin: 0; }

Updated: 13. Dezember 2021 — 15:20

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahren Sie mehr darüber, wie Ihre Kommentardaten verarbeitet werden .