WhatsApp: Random Gruppenchats sind für jeden zugänglich – ich lande in einer Hentai-Gruppe
Viele Einladungslinks zu WhatsApp-Gruppen sind öffentlich einsehbar. Die Gruppenlinks lassen sich manipulieren. So lande ich bei Anime-Porno.
In Google konnte bis vor Kurzem jeder mit einem einfachen Link nach fremden WhatsApp-Gruppen suchen und diese betreten. Mit anderen Suchmaschinen kannst du Stand heute noch immer in fremden Gruppen herumtrampeln.
Möglich ist das wegen den WhatsApp-Gruppeneinladungslinks. Die Links sind gedacht, um den Kollegen einfach zu deiner Gruppe Zutritt zu gewähren. Dass ein Link ausreicht, um einer Gruppe beizutreten, ist von WhatsApp so gewollt. Weniger gewollt ist, dass diese Links auf einmal im Internet kursieren.
Wer so einen Link hat, kann beliebigen Gruppen beitreten.
Was ist passiert?
Der Journalist Jordan Wildon hat per Zufall herausgefunden, dass mit dem Teillink «chat.whatsapp.com» in Google nach fremden Gruppen gesucht und diesen Gruppen dank dem angezeigten Link logischerweise auch einfach beigetreten werden kann.
Die Links von etwa einer halben Million Gruppen waren so auf Google indexiert und einsehbar. Auf anderen Suchmaschinen, wie etwa der russischen Yandex, sind die Links jetzt noch zu finden.
Neu ist das nicht
Auf Wildons Tweet meldete sich Twitter-User HackrzVijay. Der hat das Problem bereits vergangenes Jahr im November Facebook gemeldet. Der Konzern erwiderte, dass es sich bei den einfach zugänglichen Links um eine absichtliche Produktentscheidung handelt. Und dass Facebook nicht kontrollieren könne, was die Suchmaschinen indexieren würden. Den Tweet mit der Antwort Facebooks findest du hier.
Das Problem mit den Links: Hast du einmal den Gruppen-Link, war es schon immer so, dass du den WhatsApp-Gruppen beitreten kannst. Denn WhatsApp arbeitet mit Blacklist-Approach. Das heisst, bei WhatsApp wird nur festgelegt, wer blockiert wird. Aber eintreten kann jeder, der nicht auf einer Schwarzen Liste steht. Sprich der Zugang wird standardmässig gewährt. Mit der Indexierung in Suchmaschinen wird das bestehende Problem einfach verschlimmert.
Gescheiter und vor allem sicherer wäre das Gegenteil; der Whitelist-Approach. Hier kann niemand beitreten, ausser es wird erlaubt. Google Docs arbeitet zum Beispiel mit dem System des Whitelist-Approachs. Dort kann bei Dokumenten eingestellt werden, wer mit dem Link etwas einsehen oder bearbeiten kann.
Die Link-Manipulation oder wie ich in der Hentai-Gruppe gelandet bin
Mit der russischen Suchmaschine Yandex findest du momentan immer noch viele Chats – vorwiegend aber russische oder indonesische. Die Links der ersten paar Seiten funktionieren alle nicht mehr. Und wenn du zu viele Links anklickst, merkt das Yandex schnell und stuft dich als Roboter ein. Das heisst, dass du jedesmal ein Captcha ausfüllen musst. So ist das eher uninteressant.
Deshalb habe ich versucht, die Links abzuändern. Das funktioniert erstaunlich gut.
Ich habe keine Ahnung von Skripts oder dem systematischen Ändern von Links, ich habe nur im Editor gepröbelt. Der vordere Teil des Links ist immer gleich und hinten kannst du die Sprache einstellen. 22 Zeichen können abgeändert werden.
Ich ändere ein paar Links und gebe sie dann im Browser ein. Ob unter dem Link eine aktive Gruppe ist, merkst du schnell.
Auf einmal stosse ich wieder auf eine aktive Gruppe. Aus Gewohnheit klicke ich auf «Beitreten», ohne genau zu schauen, was der Zweck der Gruppe ist. Ein zweiter Blick zeigt mir: Ich bin in einer sehr aktiven Hentai-Cosplay-Gruppe aus Brasilien mit 94 Teilnehmern gelandet.
Den Chat vor meinem Eintritt in die Gruppe sehe ich natürlich nicht, aber die Profilbilder der Mitglieder und die Gruppenbeschreibung sind mir mehr als genug. Schnell trete ich wieder aus der Gruppe aus. Das war’s mit dem Pröbeln mit den Links, ich habe genug gesehen.
Was du als Gruppen-Admin tun kannst
Bist du selbst der Administrator einer Gruppe und willst nicht, dass fremde User in deiner Gruppe herumtrampeln, setzst du am besten den Gruppenlink zurück. Das kannst du, indem du in den Gruppeneinstellungen den Link anzeigen lässt und dann zuunterst auf «Link zurücksetzen» klickst.
Mit dem neu erzeugten Link kannst du immerhin sicher sein, dass er nicht von einer Suchmaschine gefunden werden kann.
Deaktivieren lässt sich der Link nicht. Für heikle Themen sollte aber sowieso klar sein, dass du nicht einen WhatsApp-Chat verwendet solltest.
Experimentieren und Neues entdecken gehört zu meinen Leidenschaften. Manchmal läuft dabei etwas nicht wie es soll und im schlimmsten Fall geht etwas kaputt. Ansonsten bin ich seriensüchtig und kann deshalb nicht mehr auf Netflix verzichten. Im Sommer findet man mich aber draussen an der Sonne – am See oder an einem Musikfestival.