Una falla di WhatsApp ha messo a rischio 3,5 miliardi di numeri di telefono. La scoperta arriva da un gruppo di ricercatori dell’Università di Vienna e del centro austriaco SBA Research, che hanno utilizzato una vulnerabilità del sistema per accedere a dati sensibili senza causare danni diretti, distruggendo le informazioni dopo averle raccolte. Meta, la società madre di WhatsApp, Facebook, Instagram e Threads, ha ringraziato i ricercatori, minimizzando l’accaduto e precisando di non essere a conoscenza di fughe di dati causate da hacker. Tuttavia, la vicenda riapre un tema cruciale: le grandi piattaforme spesso reagiscono con lentezza di fronte a falle di sicurezza importanti. La stessa vulnerabilità era già stata identificata nel 2017, ma per circa otto anni non è stata affrontata in modo adeguato.
Il meccanismo del “contact discovery”
Il problema nasce dal sistema di contact discovery, la funzione che permette di verificare se un numero di telefono è registrato su WhatsApp ogni volta che un utente aggiunge un contatto. Normalmente legittimo, questo meccanismo può diventare pericoloso se automatizzato. I ricercatori austriaci hanno usato strumenti di verifica massiva, generando decine di miliardi di combinazioni e confermando l’attivazione di 3,5 miliardi di numeri. Oltre ai numeri, sono state estratte anche le foto profilo (circa 2 miliardi, il 59%) e lo stato personale degli utenti (1,2 miliardi, il 29%).
La ricerca ha rivelato anche metadati importanti, come sistemi operativi, dispositivi collegati e date di registrazione degli account. Si tratta di informazioni che solo Meta dovrebbe poter raccogliere, ma che potrebbero essere sfruttate da malintenzionati o addirittura da Stati autoritari.
Implicazioni a lungo termine
La vulnerabilità non riguarda solo la quantità di dati, ma anche la loro persistenza nel tempo. Meta, infatti, conserva numeri di telefono esposti in precedenti fughe di dati, come quella del 2021 su Facebook, con metà degli account ancora attivi su WhatsApp. I ricercatori hanno inoltre rilevato un uso anomalo di chiavi crittografiche su milioni di dispositivi. In teoria, il riutilizzo di chiavi dovrebbe essere un problema serio per la privacy, perché consente di accedere ai messaggi di più account con la stessa chiave privata. Tuttavia, gli esperti sottolineano che nella maggior parte dei casi si tratta di app non ufficiali di WhatsApp, che non generano nuove chiavi quando gli utenti cambiano numero o dispositivo.
WhatsApp e le chiavi crittografiche
Per comprendere il rischio, è utile un chiarimento tecnico. Ogni account WhatsApp dispone di una chiave pubblica, visibile a chiunque, e una chiave privata, segreta e indispensabile per leggere i messaggi. Se due account condividono la stessa coppia di chiavi, chi possiede la chiave privata può teoricamente leggere entrambe le conversazioni. Nel caso dei dati analizzati dai ricercatori, questo rischio è puramente teorico e molto remoto. La cifratura end-to-end di WhatsApp resta efficace: i messaggi non sono stati accessibili durante la ricerca.
I rischi concreti per gli utenti di WhatsApp
Nonostante la robustezza della cifratura, i numeri di telefono esposti sono un dato sensibile. Possono essere usati per campagne di spam, phishing o combinati con altre informazioni provenienti da piattaforme diverse per scopi fraudolenti. Lo studio segnala anche 2,3 milioni di numeri di utenti cinesi, nonostante WhatsApp sia vietato in Cina. Questo indica come anche in contesti autoritari i numeri possano essere mappati.
A preoccupare sono anche i casi di personalità pubbliche identificate tramite numeri di telefono estratti da varie app, tra cui WhatsApp, come alti funzionari del governo statunitense. Il rischio è quindi reale e riguarda sia gli utenti comuni che figure istituzionali.
La responsabilità di Meta
I ricercatori hanno eseguito test su oltre cento milioni di numeri all’ora senza incontrare ostacoli, dimostrando che WhatsApp è vulnerabile all’enumerazione massiva. Dopo la segnalazione, Meta ha introdotto limiti più stringenti sul numero di verifiche possibili (“rate limit”), riducendo il rischio di futuri rastrellamenti di dati. Tuttavia, questa misura arriva con otto anni di ritardo. Nel 2017, lo sviluppatore Loran Kloeze aveva già dimostrato la facilità con cui era possibile estrarre informazioni tramite WhatsApp, ma la piattaforma non aveva preso provvedimenti.
Studi successivi del 2021 confermano come il problema fosse noto e sottolineano la necessità di migliorare la privacy nel contact discovery, ma Meta ha reagito solo dopo l’ennesimo allarme.
Un monito per la sicurezza digitale
La vicenda di WhatsApp mette in luce due questioni importanti: la vulnerabilità dei sistemi di messaggistica e la lentezza con cui le grandi piattaforme affrontano i problemi di sicurezza. Anche se in questo caso i dati sono stati trattati in maniera etica dai ricercatori, resta evidente che la stessa falla avrebbe potuto essere sfruttata da criminali o governi. Per gli utenti, diventa fondamentale gestire con attenzione i propri numeri di telefono e valutare le app installate, soprattutto quelle non ufficiali.
Potrebbe interessarti anche questo articolo: Modalità incognito su WhatsApp: ecco come attivarla
