Messenger und DatenschutzUnbefugte haben Zugriff auf Whatsapp-Gruppen

Die Kommunikation über verschlüsselte Messenger wie Whatsapp, Telegram, Threema und Signal ist weitgehend sicher – Zumindest die Inhalte sind Ende-zu-Ende-verschlüsselt. Metadaten können allerdings weiterhin ausgelesen werden.

Es gibt allerdings eine Sicherheitslücke, die bisher noch nicht so viele auf dem Schirm hatten: Gruppen in Whatsapp, dem mit Abstand am meisten genutzten Messenger weltweit, sind teilweise öffentlich. Ihnen können beliebige Menschen weltweit beitreten, die dann zum Beispiel die Namen und Telefonnummern der Gruppenmitglieder erhalten.

Möglich ist das vor allem deshalb, weil Einladungslinks zu den Gruppen – ein solcher Link reicht, um einer Whatsapp-Gruppe beizutreten – in Foren, auf Webseiten etc. veröffentlicht und dort von Suchmaschinen erfasst (indexiert) werden. Selbst solche Links zu Whatsapp-Gruppen werden indexiert, die in passwortgeschützten Foren gepostet werden.

Für diejenigen, die Interesse haben, ungefragt Whatsapp-Gruppen beizutreten, ist es dann sehr einfach. Sie müssen lediglich nach Webseiten suchen, die die Adresse "chat.whatsapp.com" enthalten. Das sind aktuell mehrere Hunderttausend.

Bei diesen Gruppen sind auch sensible Gruppen gelistet, wie zum Beispiel Selbsthilfegruppen, die womöglich ein Interesse an einer gewissen Privatsphäre und Vertraulichkeit haben.

Whatsapp-Entwickler könnten verhindern, dass die Links indexiert werden können, indem diesen der Zusatz "noindex" verpasst wird – was wohl noch nicht passiert ist. Ohne dass nähere Gründe dafür bekannt sind, sind die Einladungslinks zumindest aus der Google-Suche verschwunden. In anderen Suchmaschinen sind sie aber noch zu finden.

Eine weitere Möglichkeit: Die Gruppen-Admins können den Einladungslink widerrufen, sodass er einfach nicht mehr funktioniert. Das setzt aber voraus, dass sie überhaupt Interesse an einem gesteuerten Mitglieder-Zulauf haben.