Questo sito utilizza cookies tecnici (propri e di terze parti) come anche cookie di profilazione (di terze parti) sia per proprie necessità funzionali, sia per inviarti messaggi pubblicitari in linea con tue preferenze. Per saperne di più o per negare il consenso all'uso dei cookie di profilazione clicca qui. Scorrendo questa pagina, cliccando su un link o proseguendo la navigazione in altra maniera, acconsenti all'uso dei cookie Ok, accetto

Cinquantamila.it La storia raccontata da Giorgio Dell'Arti

 2025  novembre 20 Giovedì calendario
La storia raccontata da Giorgio Dell'Arti 

repubblica.it, 20 novembre 2025

Falla WhatsApp: esposti 3,5 miliardi di numeri di telefono. Nota dal 2017 e corretta solo nel 2025

Un gruppo di ricercatori dell’Università di Vienna e del centro di ricerca austriaco sulla sicurezza informatica SBA Research ha sfruttato una falla di WhatsApp ed è entrato in possesso di 3,5 miliardi di numeri di telefono.
Dopo avere avvertito Meta – l’azienda che oltre a WhatsApp produce anche Facebook, Instagram e Threads – i ricercatori hanno distrutto i dati estratti e hanno pubblicato un documento con il quale ricostruiscono l’accaduto.
Dal canto suo, Meta ha ringraziato l’Università di Vienna cercando di minimizzare l’accaduto, sottolineando di non essere al corrente di fughe di dati causate da criminal hacker.
Ciò, oltre a non essere una garanzia, rilancia il tema della scarsa reazione con cui le grandi piattaforme reagiscono alle vulnerabilità. La medesima falla, anche se su scale diverse, era già stata identificata nel 2017 e, fatti alla mano, Meta sembra averla presa sottogamba per circa 8 anni.
I ricercatori hanno usato il meccanismo noto con il nome di contact discovery, ossia quello che permette di verificare se un numero è su WhatsApp ogni volta che un utente aggiunge un contatto sulla rubrica del proprio smartphone. Un meccanismo legittimo che, di per sé, non rappresenta una falla vera e propria ma che Meta amministra in modo perfettibile.
Automatizzando questa procedura di controllo, i ricercatori hanno generato decine di miliardi di numeri di telefono verificando che fossero attivi su WhatsApp.
In sostanza, il lavoro dei ricercatori ha creato una directory globale degli account WhatsApp attivi in tutti i Paesi del mondo, sfruttando una vulnerabilità di enumerazione che ha consentito di estrarre tutti i numeri di telefono raggiungibili mediante l’app di messaggistica.
Oltre a trovare 3,5 miliardi di numeri attivi sono riusciti a estrarre anche le foto profilo (nel 59% dei casi, ossia circa 2 miliardi) e lo stato degli utenti (nel 29% dei casi, che corrisponde a circa 1,2 miliardi di stati personali).
In aggiunta, i ricercatori sono entrati in possesso di metadati che indicano i sistemi operativi degli utenti, l’uso di dispositivi complementari (per esempio WhatsApp Web) e la data in cui gli account sono stati registrati.
Una specie di censimento globale che solo Meta dovrebbe essere in grado di effettuare e che, al di là dei ricercatori che hanno agito a scopo dimostrativo, avrebbe potuto fare un collettivo dedito al cyber crimine o uno Stato in cui l’uso di WhatsApp è vietato.
Tra i numeri di telefono estratti dagli autori della ricerca c’è, con grande probabilità, anche quello di chi sta leggendo questo articolo.
La ricerca ha messo in evidenza anche il possibile impatto sul lungo periodo delle fughe di dati. Infatti, metà circa dei numeri esposti in una fuga di dati che ha colpito Facebook nel 2021 è ancora attiva su WhatsApp. Parallelamente, ha identificato chiavi crittografiche riusate in modo anomalo su milioni di dispositivi, suggerendo errori di implementazione o attività fraudolente.
Il riutilizzo di una chiave crittografica, ovvero il fatto che più account usano la medesima chiave per proteggere i dati, può rappresentare un problema grave per la sicurezza e la privacy ma i ricercatori ipotizzano che ciò dipenda dall’uso di app WhatsApp non ufficiali e che non si tratti di una falla vera e propria. Per non creare allarmismi, è utile un breve approfondimento.
Una chiave crittografica è un codice necessario per cifrare e decifrare messaggi. Nei sistemi asimmetrici come WhatsApp, ogni utente dispone di una chiave pubblica (accessibile a tutti e usata per cifrare i dati) e una privata (segreta, usata per decifrare i dati).
Se due numeri di telefono usano la stessa coppia di chiavi, chi ha accesso alla chiave privata può accedere ai messaggi destinati a entrambi anche se riconducibili a due account WhatsApp diversi.
Un problema che invade anche soprattutto la privacy ma, in questo caso, soltanto teorico e molto remoto. È infatti molto probabile, così come hanno sottolineato i ricercatori, che applicazioni WhatsApp non ufficiali non abbiano generato nuove chiavi quando chi le usava ha cambiato numero di telefono, ha cambiato dispositivo o più semplicemente ha reinstallato l’applicazione.
Va sottolineato che i ricercatori non sono entrati in possesso di messaggi scambiati dagli utenti, segnale che la cifratura end-to-end che rende illeggibili a terzi le conversazioni è sufficientemente robusta.
Ribadiamo che si tratta di rischi potenziali e quindi non per forza di cose tangibili o reali.
Tuttavia, la generosità con cui Meta organizza i dati degli utenti può avere ripercussioni di un certo calibro.
Infatti, un numero di telefono è un dato sensibile che può essere usato per fare spam, campagne di phishing e può diventare ancora più sensibile se associato a dati degli utenti sottratti da altre piattaforme.
Nello studio si legge anche che i ricercatori hanno identificato 2,3 milioni di numeri di telefono di utenti cinesi attivi al momento in cui l’enumerazione è stata svolta (dicembre del 2024).
Una scoperta significativa se si considera che WhatsApp è bandito in Cina e che, più in generale, anche i governi autoritari potrebbero mappare i numeri WhatsApp dei cittadini.
Anche al di fuori degli Stati autoritari possono insorgere problemi di una certa gravità. Durante la primavera del 2025 è merso che alti funzionari del governo statunitense, nello specifico il segretario alla Difesa Pete Hegseth, il consigliere per la Sicurezza nazionale Mike Waltz e la direttice dell’Intelligence nazionale Tulsi Gabbard sono stati identificati tramite i rispettivi numeri di telefono espunti da diverse app di messaggistica, tra le quali proprio WhatsApp.
I ricercatori hanno sondato oltre cento milioni di numeri di telefono ogni ora, una velocità che non ha incontrato ostacoli o blocchi e questo conferma che WhatsApp è suscettibile all’enumerazione in massa.
Dopo la segnalazione effettuata dai ricercatori austriaci, Meta ha introdotto un “rate limit” più stringente, evitando che in futuro possano essere effettuati rastrellamenti tanto massicci.
Tuttavia, appare una mezza misura e comunque tardiva. Nel 2017 lo sviluppatore e ricercatore Loran Kloeze aveva già dimostrato che estrarre informazioni da WhatsApp fosse relativamente semplice. Il lavoro di Kloeze è stato citato in uno studio condotto da ricercatori di due atenei tedeschi nel 2021 e incentrato sulla necessità di migliorare la privacy dei sistemi di contact discovery.