@kuketzblog
Genau genommen ist eine gehashte Telefonnummer gar nicht anonymisiert, sondern nur pseudonymisiert, oder? Es gibt ja im Prinzip eine 1:1-Zuordnung zwischen Hash und Telefonnummer (eine Hashkollision jetzt mal außen vor gelassen). Man kann so mindestens jederzeit für eine bestehende Telefonnummer prüfen, ob die bereits erfasst wurde. Und man kann den Hash auch benutzen, um einen gemeinsamen Freund mehrerer WhatsApp-Nutzer zu identifizieren. Abgesehen davon gilt MD5 als geknackt.

@KBoesefeldt @kuketzblog

Wenn der hashing Algorithmus bekannt ist, ist es kein Problem die paar Millionen mögliche Telefonnummern durchzuprobieren. Also hash -> Telefonnummer mit brute force ohne Supercomputer möglich.

@kuketzblog

Bei einem Test von #WhatsApp hatte ich mal festgestellt, dass bei Eingaben von Links ein #Crawler von WA den Link aufruft und davon eine Linkvorschau erstellt. Dabei werden ebenfalls Daten Dritter ausgelesen. (Nicht nur) bei privaten Webseiten fallen z.B. die Domaindaten (#Whois) an, wodurch WA auch an Namen, Adresse, eMail und Rufnummer gelangen kann.

Die WA-Crawler kommen von der #ASN 11917 aus den IP-Blöcken 66.111.48.0/22 und 2620:13E:1000::/44

@Wolfram Mit Whois kommt man heute nicht mehr einfach an Domaindaten heran.

@kuketzblog Für Facebook oder Whatsapp ist das sicher kein Problem.

@Wolfram Inwiefern? Wie sollen die an die Whois-Infos rankommen?

@Wolfram Ich weiß nicht was da für Infos drin sind, aber die kann sich dann grundsätzlich jeder beschaffen. Das ist nicht exklusiv WhatsApp bzw. Facebook.

@kuketzblog Das stimmt, sofern man über ausreichend Kapital verfügt. Es ist eine einfache Möglicheit, um Links in Messengern zu personalisieren und Nutzer damit gegebenenfalls zu denanoymisieren.

@Wolfram @kuketzblog Kapital oder einfach nach Elasticsearch DB crawlen - dabei findet man mehr Daten als man möchte: dataviper.io/blog/2019/pdl-dat
Ohne FBI Ermittlung wird wohl im Dunkeln bleiben, wer den Mist ungeschützt abgelegt hat. Ich gehe davon aus, in den WA Nutzungsvereinbarungen alle Rechte an meinen erfassbaren Daten an FB zu übertragen + ggf. analog zu Discord, ich aber in der Verantwortung verbleibe, dass diese keine Rechte Dritter verletzt...

@kuketzblog

Wo Daten sind, da gibt es auch einen Markt dafür. Diese Firma wirbt ganz offen mit Namen, Adressen, eMail und Rufnummer von Domaininhabern.

whoisget.com/

@kuketzblog
Danke für den Artikel. Aus meiner Sicht solltest Du das "eigentlich" im letzten Satz streichen. Das klingt so, als wäre die Vorgehensweise von FB/WA doch legitim, ist sie aber nicht.

@kuketzblog Wird die WhatsApp-Nutzer nicht abhalten. Ist doooooch so schööööööön.

@kuketzblog Irgendwie sind das sogar gute Neuigkeiten.Ich nutze Whatsapp schon ewig nicht mehr,aber einige haben mich in den Kontakten.Ich war mir ja ziemlich sicher,dass sie meine Nummer im Klartext aufbewahren.Was sollte man von Facebook auch anderes erwarten?!Aber das haben sie sicher auch noch in irgendwelchen anderen Logs festgehalten...

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!