Secondo uno studio condotto dall’Università di Vienna, una funzionalità basilare dell’app di messaggistica ha messo in pericolo miliardi di persone in tutto il globo. E Meta ne era già a conoscenza nel 2017
Una delle funzionalità più comode di WhatsApp è proprio quella di verificare che una persona sia iscritta al servizio di Meta. Sul proprio dispositivo si aggiunge un nuovo numero di telefono e per poi passare subito alla rubrica dell’app di messaggistica. Esiste davvero? Che immagine del profilo ha? Cosa scrive sul proprio “stato”? Magari ci serve per controllare che abbiamo aggiunto il contatto giusto. Magari perché vogliamo farci un’idea di chi sarà la persona con cui dovremo parlare.
E se, invece, potessimo controllare centinaia di milioni di contatti ogni ora? Sarebbe strano, ma non impossibile. Questa è la scoperta fatta da un gruppo di ricercatori dell’Università di Vienna che in uno studio ha evidenziato come questa falla di sistema mascherata da innocente funzionalità può averci esposto alle attenzioni di malintenzionati. Una falla che era nota già dal 2017 e che ha messo in pubblica piazza oltre 3,5 miliardi di account in tutto il mondo.
Qual era la falla di WhatsApp che ha esposto 3,5 miliardi di account
Il punto sta tutto nel limite. O nell’assenza di un limite. Gli autori dimostrano che, a causa di una scarsa o inefficace limitazione del tasso di richieste fatte a WhatsApp tramite uno script automatizzato (un programma che esegue autonomamente alcune azioni) per controllare i profili collegati alla propria rubrica, sono stati in grado di scansionare oltre 3,5 miliardi di account attivi a livello globale (di cui 55 milioni in Italia). «Con 3,5 miliardi di record (ovvero account attivi), analizziamo un set di dati che, a nostra conoscenza, sarebbe da classificare come la più grande fuga di dati della storia, se non fosse stato raccolto nell’ambito di uno studio di ricerca condotto in modo responsabile».
Parte del problema risiede proprio nel fatto che i profili fossero attivi e quindi riconducibili a vere e proprie persone. La seconda parte è legata al fatto che un’alta percentuale di utenti espone pubblicamente metadati sensibili.
Per esempio, il 57% dei contatti ha impostato un’immagine del profilo pubblica (e quindi che può essere visualizzata da chiunque aggiunge il numero di telefono, come i ricercatori). E due terzi di queste immagini contengono figure umane ben identificabili. Al numero, quindi, si può associare la faccia di una persona.
Non solo. Circa una persona su tre ha scritto qualcosa sul proprio profilo. E se una parte di loro mantiene la scritta di default («Ciao, sto usando WhatsApp»), «altri rivelano pubblicamente informazioni sensibili o personali nei loro testi personalizzati. Ad esempio, alcuni utenti rivelano la loro ideologia politica “Make America Great Again”, indicano la loro identità o orientamento sessuale “LGBTQIA+”, esprimono le loro credenze religiose citando versetti della Bibbia o del Corano, o addirittura fanno riferimento all’uso di droghe “Ciao, faccio uso di cocaina”», scrivono i ricercatori.
La raccolta di dati (in gergo informatico si chiama data scraping) ha anche rivelato interessanti informazioni geografiche. Per esempio che gi account indiani — circa 750 milioni di contatti — rappresentano la maggiornaza relativa dei profili su WhatsApp (21% di tutti gli utenti), seguito con grande distacco da Indonesia (7%, 235 milioni di utenti) e Brasile (6%, 206 milioni). E sempre in termini di presenza geografica,a stupire i ricercatori è la quantità di numeri registrati su WhatsApp in Paesi che formalmente hanno bandito l’app di Meta. Per esempio, in Corea del Nord sono ben cinque i numeri iscritti. L’Iran, che a giugno 2025 ha chiesto ai propri cittadini di cancellare l’app, mantiene ancora 59 milioni di account attivi (due terzi della popolazione). E in Cina, dove è vietata, sono 2,3 milioni di utenti (su un campione di 1,4 miliardi di cittadini, quindi comunque una piccolissima percentuale).
Problema risolto (finalmente)?
Innocente falla di sistema? Più o meno. Secondo i ricercatori austriaci, l’inesistenza (o l’inefficacia) di un limite nell’interrogare la rubrica di contatti WhatsApp potrebbe avere esposto i 3,5 miliardi di numeri a diversi rischi. Innanzitutto, se non fosse stato fatto strettamente per motivi di ricerca, questo sistema di “enumerazione” dei profili avrebbe potuto portare alla nascita di database di numeri di telefono registrati sull’app di messaggistica. E quindi numeri che possono essere sfruttati per attacchi phishing o spam. Un database così esteso potrebbe essere sfruttato anche per attacchi mirati o per ricostruire la vita di una persona (per esempio tramite le immagini di profilo o le storie che si possono pubblicare su WhatsApp). Oltre ovviamente all’esposizione pubblica di dettagli sensibili come quelli che hanno elencato i ricercatori nello studio. informazioni che possono essere utilizzate contro le persone stesse. Per non parlare di chi è registrato al servizio nonostante sia bandito nel proprio Paese. I governi oppressivi così potrebbero sfruttare questo sistema per trovare dissidenti.
Intantoi ricercatori austriaci hanno segnalato il problema tramite il sistema di «bug bounty» di Meta. Una pratica molto comune nelle aziende tech che permette agli utenti comuni (o agli esperti) di segnalare pericolose falle di sistema in cambio di una ricompensa. E Meta ha accolto la segnalazione, risolvendo il problema alla radice e limitando le operazioni di data scraping come quelle fatte dai ricercatori.
Tuttavia, non è la prima volta che questo esatto problema è stato segnalato all’azienda di Mark Zuckerberg. Già nel 2017 un altro ricercatore, l’olandese Loran Kloeze, aveva descritto questa falla di sistema, aggiungendo nel proprio blog personale che a questa tecnica poteva essere abbinato un software di riconoscimento facciale per creare potenzialmente un enorme database di informazioni personali attribuibili a specifiche persone. Uno scenario preoccupante che, però, otto anni fa non è stato preso in grande considerazione da Meta (allora chiamata ancora Facebook).
Per non perdere le ultime novità su tecnologia e innovazione
iscriviti alla newsletter di Login
20 novembre 2025
© RIPRODUZIONE RISERVATA