Una falla nella piattaforma di messaggistica WhatsApp ha permesso a un gruppo di ricercatori dell’Università di Vienna e del centro austriaco SBA Research di accedere a ben 3,5 miliardi di numeri di telefono. Lo studio, svolto a scopo dimostrativo, ha mostrato come un difetto, noto fin dal 2017, sia rimasto senza una correzione efficace fino al 2025. Dopo aver informato Meta, l’azienda proprietaria di WhatsApp, Facebook, Instagram e Threads, i ricercatori hanno cancellato i dati e pubblicato un resoconto dettagliato della scoperta.
Meta ha ringraziato l’Università di Vienna, ma ha minimizzato l’accaduto, sostenendo di non avere notizie di fughe di dati dovute a criminal hacker. Tuttavia, il caso solleva interrogativi sul modo in cui le grandi piattaforme reagiscono alle vulnerabilità, dimostrando come un problema noto possa rimanere aperto per anni.
Cos’ha reso possibile la falla su WhatsApp?
Il meccanismo sfruttato prende il nome di contact discovery, un sistema legittimo che consente di verificare se un numero è registrato su WhatsApp ogni volta che un utente aggiunge un contatto nella propria rubrica. Sebbene progettato per facilitare l’esperienza utente, questo strumento è gestito da Meta in maniera perfettibile.
Automatizzando la verifica dei numeri, i ricercatori hanno generato decine di miliardi di combinazioni, confermando quali fossero attivi. Oltre ai numeri, sono state estratte circa 2 miliardi di foto profilo e 1,2 miliardi di stati personali, insieme a metadati come sistemi operativi, uso di dispositivi complementari e date di registrazione degli account. In sostanza, è stato realizzato un vero e proprio censimento globale, che in mani sbagliate avrebbe potuto avere conseguenze drammatiche.
Le chiavi crittografiche e i rischi teorici
Un altro elemento di attenzione riguarda il riutilizzo anomalo delle chiavi crittografiche. Ogni utente WhatsApp dispone di una chiave pubblica e una privata per cifrare e decifrare i messaggi. Quando la stessa chiave viene impiegata su più account, chi ha accesso alla chiave privata potrebbe teoricamente leggere i messaggi di più utenti.
Secondo i ricercatori, questo fenomeno è legato principalmente all’uso di app WhatsApp non ufficiali e non rappresenta una falla nella piattaforma stessa. Va sottolineato che nessun messaggio è stato mai intercettato: la cifratura end-to-end si conferma robusta, e i rischi restano quindi potenziali e molto remoti.
Implicazioni della fuga di dati su WhatsApp
Nonostante i rischi siano teorici, l’esposizione dei numeri di telefono può avere conseguenze concrete. Questi dati possono essere utilizzati per campagne di spam, phishing o, se combinati con informazioni da altre piattaforme, per attività di profilazione ancora più sofisticate.
Lo studio evidenzia inoltre che circa metà dei numeri già coinvolti nella fuga di dati Facebook del 2021 risultano ancora attivi su WhatsApp. I ricercatori hanno anche individuato 2,3 milioni di numeri di utenti cinesi, evidenziando come la piattaforma possa essere sfruttata anche in Paesi dove è vietata. Persino alti funzionari statunitensi sono stati identificati tramite i loro numeri di telefono, dimostrando quanto potenzialmente sensibile sia questo tipo di dati.
Le responsabilità di Meta e le misure adottate
Durante la ricerca, i ricercatori hanno sondato oltre cento milioni di numeri all’ora senza incontrare ostacoli, confermando la suscettibilità della piattaforma a questo tipo di raccolta massiva. Solo dopo la segnalazione, Meta ha introdotto un limite più stringente alla velocità di interrogazione dei numeri, ma si tratta di una soluzione tardiva e parziale.
La falla era stata già evidenziata nel 2017 dallo sviluppatore Loran Kloeze, e successivamente citata da ricercatori tedeschi nel 2021. Nonostante ciò, WhatsApp non aveva implementato misure preventive significative, lasciando aperto un rischio enorme per anni.
Una lezione sulla sicurezza digitale
Il caso dimostra quanto sia delicata la gestione dei dati degli utenti e quanto una piattaforma popolare come WhatsApp possa diventare uno strumento potenzialmente pericoloso se le vulnerabilità non vengono affrontate tempestivamente. Anche se questa volta i ricercatori hanno agito in modo etico e i dati non sono stati diffusi, basta un attacco mirato da parte di criminali informatici o di un soggetto statale per trasformare un difetto trascurato in un problema globale.