Zehntausende WhatsApp-Gruppen offen im Netz

Mit einer einfachen Google-Suche können auch Links zu geschlossenen WhatsApp-Gruppen gefunden werden: Diese Sicherheitslücke hatte die DW vergangene Woche aufgedeckt. In den sozialen Netzwerken war die Empörung groß - und schnell wurden die Links aus den Google-Suchergebnissen entfernt. 

Doch wie der Sicherheitsexperte Lav Kumar belegen kann, sind entsprechende Informationen in öffentlich zugänglichen Webarchiven nach wie vor verfügbar. Kumar fand mehr als 60.000 Einladungslinks, die auf verschiedenen Websites abrufbar sind.

Etwa Tausend davon hat die DW nach dem Zufallsprinzip ausgewählt, getestet und stieß auf 427 aktive Links zu Chatgruppen. Ohne ihnen beizutreten, können Gruppenname und -beschreibung, das Gruppenbild sowie die Telefonnummer des Administrators eingesehen werden. Tritt man den Gruppen bei, findet man neben anderen Informationen die Telefonnummern von bis zu 256 Gruppenmitgliedern - und unter Umständen auch deren Benutzernamen in der App.

"Aus Sicherheitsgründen zeigen wir in Gruppen alle Nummern; so weiß jede Person, wer ihre Nachrichten erhält", teilte WhatsApp auf Anfrage der DW mit.

Eine Gefahr für Minderheiten

Anhand der Informationen konnte sich die DW Zugang zu einer Gruppe mit dem Namen "Ministry of finance civil servants" (Beamte des Finanzministeriums) in Indonesien verschaffen und die Nummern aller 14 Gruppenmitglieder einsehen. Dasselbe gelang mit der allem Anschein nach offiziellen Wahlkampfgruppe des brasilianischen Präsidenten Jair Bolsonaro.

Unter den 427 untersuchten Links befinden sich - der jeweiligen Beschreibung nach - WhatsApp-Gruppen von Schulklassen, Medizinstudierenden, politischen Kampagnen, Firmen, Sexarbeiterinnen und mutmaßlichen Terroristen. Die DW fand auch Chats, die offensichtlich als Schutzräume für marginalisierte Gruppen dienen sollen, darunter einen LGBTQ+-Chat mit Hunderten Mitgliedern aus einem lateinamerikanischen Land mit hohen Raten an homophoben Morden.

In einigen Fällen erinnern die Gruppenbilder an Amateur-Pornographie, es gibt aber auch Hinweise auf kinderpornographische Inhalte sowie auf Gruppen, die "extreme" sexuelle Inhalte - einschließlich Aufnahmen von Vergewaltigungen - verbreiten. 

WhatsApp rechtfertigte sich umgehend: Man verfolge eine Null-Toleranz-Politik in Bezug auf Kindesmissbrauch und sperre Nutzer sofort, wenn diese Inhalte teilten, die Kinder ausbeuten oder gefährden, sagte das Unternehmen der DW. Das betreffe jeden Monat rund 250.000 Nutzerkonten und geschehe auf Basis von unverschlüsselten Informationen oder Meldungen anderer Nutzer.

"Nützlich für terroristische Gruppen"

Ist die Lücke möglicherweise eine Hintertür für Sicherheitsbehörden, um illegale Inhalte aufzuspüren? 

Natürlich sei es möglich, auf diesem Wege nach Problemgruppen zu suchen, sagte Jake Moore, Experte für Cyber-Sicherheit und ehemaliger Leiter der digitalen Forensik bei einer britischen Polizeieinheit, der DW: WhatsApp habe sich "nicht besonders bemüht, die Strafverfolgung zu unterstützen. Also dachten sie vielleicht, es wäre günstig, das den Behörden anzubieten, ohne je offen darüber zu sprechen". Er sei jedoch unsicher, ob Strafverfolgungsbehörden diese Wege tatsächlich nutzten: "Die meisten Polizeieinheiten sind nicht so proaktiv, sie reagieren eher. Zudem bezweifle ich, dass terroristische Gruppen WhatsApp nutzen."

Dabei haben Recherchen zum rechtsextremen Terror in Deutschland belegt, dass bestimmte Netzwerke durchaus auch WhatsApp dazu nutzen, um ihre Mitglieder untereinander bekannt zu machen.

Die Lücke hätte längst geschlossen werden können

Berichte über die Sicherheitslücken bei WhatsApp gab es bereits 2016. Der mexikanische Computerwissenschaftler Aurelio Cuaute hatte damals Telefonnummern in Google-Suchergebnissen gefunden und WhatsApp darüber informiert. In mehreren E-Mails legte er dem Unternehmen dar, wie er an die Informationen gelangt war. Nachdem er auf seine ersten Mails noch Antworten bekommen habe, seien diese später ausgeblieben, so Cuaute. Die Telefonnummern seien aber über Suchmaschinen nicht mehr auffindbar gewesen.

Ein auf Twitter als HackerzVijay bekannter Sicherheitsanalyst erzählte, er habe Facebook - den Mutterkonzern von WhatsApp - im November 2019 über die Sicherheitslücke informiert. In der anschließenden E-Mail-Korrespondenz habe der Konzern von einer "bewussten Entscheidung" gesprochen, "die Links für alle zugänglich zu machen". Es sei aber eine "Überraschung, dass diese von Google indexiert werden". In einer weiteren E-Mail vom 26. Februar, die der DW vorliegt, bekräftigt Facebook diesen Standpunkt.

Geringe Priorität oder bewusste Entscheidung?

Im vergangenen Dezember berichtete ein 18-jähriger Hacker über die Lücke. Facebook antwortete mit dem Hinweis, man ziehe "weitere Maßnahmen" in Erwägung, könne aber nicht kontrollieren, was von Suchmaschinen aufgeführt werde. Zudem habe der Fall "keine hohe Priorität". Auf die DW-Frage, warum trotzdem Verzeichnisse gelöscht wurden, obwohl man vorher beteuert hatte, sie seien absichtlich für alle zugänglich, hatte der Konzern "nichts weiter zu sagen". 

Google-Sprecher Danny Sullivan sagte der DW, Suchmaschinen würden Seiten aufführen, die auf öffentlichen Websites auftauchten. Allerdings würden von Google auch Tools zur Verfügung gestellt, "die es Websites ermöglichen, Inhalte für die Auflistung in Suchergebnissen zu sperren". Demnach hätte WhatsApp dafür sorgen können, dass private Einladungslinks für die Öffentlichkeit unsichtbar bleiben - sich aber offenbar bewusst dagegen entschieden.

In einer Stellungnahme erklärte WhatsApp, dass "Gruppen-Administratoren jeden Nutzer dazu einladen können, der Gruppe beizutreten, indem sie einen Einladungslink teilen. Wie alle Inhalte, die auf öffentlichen Kanälen geteilt werden, können solche Einladungslinks, wenn sie öffentlich im Internet gepostet wurden, von anderen WhatsApp-Nutzern gefunden werden. Links, die Nutzer privat mit Leuten teilen wollen, die sie kennen und denen sie vertrauen, sollten nicht auf einer öffentlich zugänglichen Website gepostet werden."