Un gruppo di ricercatori ha recentemente scoperto una grave vulnerabilità nel sistema di gestione dei contatti di WhatsApp.
Nonostante Meta, la società proprietaria di WhatsApp, abbia rapidamente corretto la falla, questo episodio solleva preoccupazioni profonde riguardo all’utilizzo del numero di telefono come unico identificatore nell’ecosistema digitale contemporaneo.
Attraverso una tecnica chiamata “enumerazione dei contatti”, i ricercatori sono riusciti a interrogare i server di WhatsApp a ritmi elevatissimi – circa cento milioni di numeri all’ora – senza incontrare ostacoli significativi dalle misure di sicurezza implementate da Meta. Il risultato è stato l’estrazione di dati relativi a circa 3,5 miliardi di numeri di telefono associati a profili WhatsApp, un quantitativo che rappresenta, secondo gli studiosi, la più grande esposizione di dati personali mai documentata nel settore.
Per oltre la metà di questi account è stato possibile recuperare la foto profilo pubblica (circa il 57%), mentre per quasi un terzo degli utenti (29%) sono stati estratti anche i dati testuali pubblici, ovvero la sezione “Info” o “About”. Il ricercatore Aljosha Judmayer, tra gli autori dello studio, ha definito questa scoperta “il più grande data leak della storia, se non fosse stato gestito come parte di uno studio di ricerca responsabile”.
L’intervento di Meta e le lacune strutturali nella sicurezza
Dopo la segnalazione della vulnerabilità ad aprile 2025, Meta ha provveduto a cancellare il database contenente i dati estratti e ha introdotto a ottobre nuove misure di “rate-limiting” per limitare la velocità con cui è possibile interrogare i server. Tuttavia, Max Günther, coautore della ricerca, ha evidenziato come la tecnica fosse facilmente accessibile e sfruttabile da chiunque prima dell’intervento, esponendo così gli utenti a rischi concreti di sorveglianza e abuso.
In una dichiarazione ufficiale, Meta ha ringraziato i ricercatori per la segnalazione tramite il programma “bug bounty”, minimizzando tuttavia la portata del problema, definendo i dati esposti “informazioni di base pubblicamente disponibili” e ribadendo che “i messaggi degli utenti restano protetti dalla crittografia end-to-end”.
La vulnerabilità non è nuova: già nel 2017 il ricercatore olandese Loran Kloeze aveva avvertito Meta circa la possibilità di creare giganteschi database di dati personali tramite tecniche di enumerazione dei numeri. All’epoca, la risposta di Meta fu che le impostazioni di privacy erano efficaci e che la segnalazione non meritava una ricompensa.
Oggi, otto anni dopo, la ricerca condotta dall’Università di Vienna conferma che le difese contro il “scraping” di WhatsApp sono ancora insufficienti. L’analisi ha inoltre mostrato come la diffusione di foto profilo pubbliche vari significativamente in base al Paese: negli Stati Uniti il 44% degli account mostra una foto pubblica, in India il 62% (con quasi 750 milioni di numeri analizzati), e in Brasile il 61% rispetto ai 206 milioni di account rilevati.
Implicazioni geopolitiche e anomalie tecniche
Non si tratta solo di un rischio legato a spam o frodi. I ricercatori hanno individuato milioni di numeri associati a Paesi dove WhatsApp è ufficialmente vietato o fortemente limitato, come Cina (2,3 milioni di numeri) e Myanmar (1,6 milioni). In questi contesti, un database del genere potrebbe essere sfruttato da regimi autoritari per identificare gli utenti che utilizzano l’app illegalmente, con potenziali conseguenze gravissime in termini di diritti umani.
Un altro aspetto emerso riguarda la sicurezza crittografica: pur confermando la solidità della crittografia end-to-end di WhatsApp, lo studio ha rilevato la presenza di account con chiavi pubbliche duplicate o composte esclusivamente da zeri. Questo fenomeno è attribuibile all’uso di client non ufficiali o non autorizzati, spesso utilizzati da spammer o truffatori, che compromettono l’efficacia della crittografia.
Secondo il documento di ricerca, il problema di fondo risiede nell’utilizzo del numero di telefono come identificatore unico e segreto per gli account digitali. I numeri telefonici, infatti, sono sequenziali e prevedibili, privi di sufficiente casualità per garantire la sicurezza e la privacy degli utenti. “I numeri di telefono non sono stati progettati per essere usati come identificatori segreti, eppure WhatsApp li utilizza così nella pratica”, spiega Judmayer.
