Mitglieder von Whatsapp-Gruppen gehen vielleicht davon aus, dass die Gruppe privat ist. Wenn der Admin den Einladungslink allerdings irgendwo postet und Google den Link findet, dann ist die Gruppe offen wie ein Scheunentor.

Die Kommunikation über verschlüsselte Messenger wie Whatsapp, Telegram, Threema und Signal ist weitgehend sicher – Zumindest die Inhalte sind Ende-zu-Ende-verschlüsselt. Metadaten können allerdings weiterhin ausgelesen werden.

Es gibt allerdings eine Sicherheitslücke, die bisher noch nicht so viele auf dem Schirm hatten: Gruppen in Whatsapp, dem mit Abstand am meisten genutzten Messenger weltweit, sind teilweise öffentlich. Ihnen können beliebige Menschen weltweit beitreten, die dann zum Beispiel die Namen und Telefonnummern der Gruppenmitglieder erhalten.

Auch Links aus passwortgeschützten Foren werden erfasst

Möglich ist das vor allem deshalb, weil Einladungslinks zu den Gruppen – ein solcher Link reicht, um einer Whatsapp-Gruppe beizutreten – in Foren, auf Webseiten etc. veröffentlicht und dort von Suchmaschinen erfasst (indexiert) werden. Selbst solche Links zu Whatsapp-Gruppen werden indexiert, die in passwortgeschützten Foren gepostet werden.

Für diejenigen, die Interesse haben, ungefragt Whatsapp-Gruppen beizutreten, ist es dann sehr einfach. Sie müssen lediglich nach Webseiten suchen, die die Adresse "chat.whatsapp.com" enthalten. Das sind aktuell mehrere Hunderttausend.

"Bei dieser großen Menge ist wohl fast alles dabei: politische Gruppen, Sportgruppen, Interessengruppen. Natürlich auch sehr viele sensible, wie zum Beispiel Selbsthilfegruppen, von denen jetzt nicht jeder x-beliebige User wissen sollte, wer dort engagiert ist."
Andreas Noll, Deutschlandfunk-Nova-Reporter

Bei diesen Gruppen sind auch sensible Gruppen gelistet, wie zum Beispiel Selbsthilfegruppen, die womöglich ein Interesse an einer gewissen Privatsphäre und Vertraulichkeit haben.

Whatsapp-Entwickler könnten verhindern, dass die Links indexiert werden können, indem diesen der Zusatz "noindex" verpasst wird – was wohl noch nicht passiert ist. Ohne dass nähere Gründe dafür bekannt sind, sind die Einladungslinks zumindest aus der Google-Suche verschwunden. In anderen Suchmaschinen sind sie aber noch zu finden.

Eine weitere Möglichkeit: Die Gruppen-Admins können den Einladungslink widerrufen, sodass er einfach nicht mehr funktioniert. Das setzt aber voraus, dass sie überhaupt Interesse an einem gesteuerten Mitglieder-Zulauf haben.