Seit geraumer Zeit ist es Whatsapp-Nutzern möglich, andere Nutzer per Link zu einem Gruppenchat einzuladen. Öffnet man jene Link-Einladung, wird man ohne weiteres automatisch zur Gruppe hinzugefügt. Wie The Verge berichtet, waren jene Links bis vor kurzem alles andere als privat – sucht man auf Google nach der passenden URL können tausende Einladungslinks gefunden werden.

Während es üblich ist, dass URLs, die im Internet geteilt werden, von der Google-Suche aufgegriffen werden, können mithilfe der Indexierung und Daten-Scraping systematisch und relativ einfach Nutzerdaten gesammelt werden.

Telefonnummern ungeschützt

Journalist Jordan Wildon hat als erster auf das Problem aufmerksam gemacht. "Whatsapp-Gruppenchats sind nicht so sicher, wie Nutzer glauben", schrieb er auf Twitter. Er bemerkte, dass Google jene URLs, mit denen Nutzer zu Whatsapp-Chatgruppen hinzugefügt werden können, indexiert und bei Suchen auflistet. Ein kleiner Fehler mit großen Auswirkungen – denn ein Klick genügt, um einer fremden Gruppe beizutreten. Wird jemand Mitglied eines Chatrooms, werden für ihn automatisch alle Telefonnummern der anderen Teilnehmer sichtbar.

Motherboard hat eine Google-Suche mit dem Befehl "site:chat.whatsapp.com" durchgeführt. Der Anfang der URL, mit der alle Einladungslinks beginnen, reichte, um über 400.000 Chaträume ausfindig zu machen. Während es sich bei den meisten Whatsapp-Gruppen um Chats handelte, die Pornovideos teilten, wurde jedoch auch eine gefunden, die laut ihrer Beschreibung als Diskussionsraum für NGOs diente. Motherboard habe somit über eine spezifische Google-Suche Zugriff zu den privaten Telefonnummern der Teilnehmer erhalten. Laut Jordan Wildon ließ sich auch eine Gruppe von Rechtsextremen auffinden.

Problem war bekannt

Twitter-Nutzer Viji fügte der Twitter-Diskussion hinzu, dass er bereits im November Facebook auf das Problem hingewiesen habe.

Die Antwort des Social-Media-Giganten hängte er als Screenshot an. Demnach sei es eine "vorgesehene Eigenschaft des Produkts", dass die Links für alle zugänglich sind. Überraschend sei lediglich, dass sie von Google verzeichnet und aufgelistet wurden. Facebook aber habe "keinen Einfluss darauf, was Suchmaschinen, wie Google, verzeichneten" und somit scheint es auch nicht ihr Problem zu sein.

Google äußerte sich nicht direkt zu dem Thema, doch Danny Sullivan, Sprecher für die Suchfunktion Googles, merkte in einem Twitter-Beitrag an, dass Google sehr wohl ein Tool für die Blockierung von Webseiteninhalten bereitstellt.

Teilweise behoben

Whatsapp scheint die Links mithilfe des "noindex" Meta-Tags von der Google-Suche entfernt zu haben, denn mit "site:chat.whatsapp.com" lassen sie sich nun nicht mehr finden – zumindest auf Google. Jane Wong machte darauf aufmerksam, dass dadurch das Sicherheitsrisiko noch nicht vollständig beseitigt wurde – mithilfe anderer Suchmaschinen wie Bing oder Duckduckgo kann weiterhin gezielt nach Einladungslinks gesucht werden.

In einem Statement meinte Whatsapps Sprecherin Alison Bonny, dass Einladungslinks "wie alle Inhalte, die in durchsuchbaren öffentlichen Kanälen geteilt werden" von anderen Whatsapp-Nutzern gefunden werden können, und riet Nutzern, die ihre Gruppen privat halten möchten, die Links zu diesen auch nicht öffentlich zu teilen. (hsu, 22.2.2020)