Eine unerfreuliche Entdeckung hat der Sicherheitsforscher Athul Jayaram gemacht. Wie sich herausstellt, lassen sich zum Teil die Telefonnummern von Whatsapp-Usern über eine simple Google-Suche aufspüren. Jayram sieht darin ein schweres Privatsphärenproblem, immerhin könnten diese Informationen nicht zuletzt von Spammern missbraucht werden. Bei Facebook wiegelt man hingegen ab und will darin kein Fehlverhalten erkennen.

Spurensuche

Ausgangspunkt dieses Phänomens ist ein Features namens "Click to Chat". Dieses erlaubt es, einen Link auf einer Website zu positionieren, mit dem Nutzer Kontakt mit dem jeweiligen Betreiber aufnehmen können. Ein solcher Chat kann dann direkt über den Link oder auch über das Einscannen eines zugehörigen QR-Codes initiiert werden. Das Problem entsteht nun dadurch, dass Facebook schlicht die echte Telefonnummer für die Erstellung des Links benutzt, diese also Teil der Adresse (URL) ist. Als Domain nutzt Whatsapp für diese Links wa.me. Sucht man gezielt nach dieser in Verbindung mit einem Landescode, spuckt Google nun sämtliche regionalen Nutzer aus, die solche Links auf ihren Seiten haben.

Für Spammer wäre das eine durchaus interessante Information, argumentiert nun Jayram. Immerhin ist eine solche Telefonnummer auf diese Weise "bestätigt", Betrüger wissen also, dass sich dahinter eine reale Person verbirgt. Zudem könnten sie die Daten mit anderen Informationen kombinieren. Wer auf ein solches Suchergebnis klickt, wird nämlich auf eine Profilseite geschickt, wo in einigen Fällen auch der zugehörige Avatar zu dem Whatsapp-Account angezeigt wird. Hat hier jemand ein Foto angelegt, könnten über eine Bildsuche theoretisch weitere Nutzerdaten herausgefunden werden, etwa wenn derselbe Avatar auch auf Facebook verwendet wurde.

Reaktion

Gegenüber "Threatpost" betont Facebook trotzdem, dass man in all dem kein Problem sehe. Dieses Feature sei vor allem für kleine Unternehmen gedacht, damit Kunden einfach mit ihnen in Kontakt treten können. Ob allen dabei klar ist, dass damit auch ihre Telefonnummer öffentlich ist, ist aber eine andere Frage.

Der Vorfall erinnert insofern an ein Defizit vieler aktueller Messenger: die Nutzung der Telefonnummer als Grundlage für die Account-Identität. Dieser Ansatz wurde in der Vergangenheit immer wieder kritisiert, weil man damit sämtlichen Kontakten die eigene Telefonnummer verrät – was nicht immer gewünscht sein mag. Gleichzeitig ist dies aber für die Betreiber ein sehr einfacher Ansatz, einen Messenger aufzuziehen, da damit die Hürde für die Einrichtung eines eigenen Accounts entfällt und die Nutzer diese Informationen auch nicht noch einmal explizit mit anderen teilen müssen.

Nicht zum ersten Mal

Es ist bereits der zweite ähnliche Vorfall innerhalb weniger Monate, der Facebook Kritik einbringt. So war Sicherheitsexperten erst im Februar aufgefallen, dass auch Links auf Whatsapp-Gruppenchats zum Teil in der Google-Suche auftauchen. Vonseiten Googles hieß es damals, dass man hier wenig tun könne – was öffentlich gepostet wird, werde auch von der Suche indiziert.

Insofern liefert Jayram in dem aktuellen Fall auch zwei konkrete Vorschläge an Facebook: Einerseits sollte man über die Robots.txt-Datei die Indizierung von Seiten auf wa.me unterbinden, dann tauchen sie auch nicht mehr in Suchmaschinen auf. Zudem wäre es sinnvoller, in diese Links nicht einfach die echte Telefonnummer zu packen, sondern sie in irgendeiner Art zu verschlüsseln. (red, 8.6.2020)