Secondo uno studio condotto dall’Universit\u00e0 di Vienna, una funzionalit\u00e0 basilare dell’app di messaggistica ha messo in pericolo miliardi di persone in tutto il globo. E Meta ne era gi\u00e0 a conoscenza nel 2017<\/p>\n
Una delle funzionalit\u00e0 pi\u00f9 comode di WhatsApp <\/b>\u00e8 proprio quella di verificare che una persona sia iscritta al servizio di Meta. Sul proprio dispositivo si aggiunge un nuovo numero di telefono e per poi passare subito alla rubrica dell’app di messaggistica. Esiste davvero? Che immagine del profilo ha? Cosa scrive sul proprio “stato”? Magari ci serve per controllare che abbiamo aggiunto il contatto giusto. Magari perch\u00e9 vogliamo farci un’idea di chi sar\u00e0 la persona con cui dovremo parlare<\/b>. Qual era la falla di WhatsApp che ha esposto 3,5 miliardi di account<\/p>\n Il punto sta tutto nel limite. O nell’assenza di un limite. Gli autori dimostrano che, a causa di una scarsa o inefficace limitazione del tasso di richieste<\/b> fatte a WhatsApp tramite uno script automatizzato <\/b>(un programma che esegue autonomamente alcune azioni) per controllare i profili collegati alla propria rubrica, sono stati in grado di scansionare oltre 3,5 miliardi di account attivi a livello globale <\/b>(di cui 55 milioni in Italia).\u00a0\u00abCon 3,5 miliardi di record (ovvero account attivi), analizziamo un set di dati che, a nostra conoscenza, sarebbe da classificare come la pi\u00f9 grande fuga di dati della storia<\/b>, se non fosse stato raccolto nell’ambito di uno studio di ricerca condotto in modo responsabile\u00bb. Per esempio, il 57% dei contatti ha impostato un’immagine del profilo pubblica (e quindi che pu\u00f2 essere visualizzata da chiunque aggiunge il numero di telefono, come i ricercatori). E due terzi di queste immagini contengono figure umane ben identificabili<\/b>. Al numero, quindi, si pu\u00f2 associare la faccia di una persona.\u00a0 La raccolta di dati (in gergo informatico si chiama data scraping) ha anche rivelato interessanti informazioni geografiche. Per esempio che gi account indiani \u2014 circa 750 milioni di contatti \u2014 rappresentano la maggiornaza relativa dei profili su WhatsApp (21% di tutti gli utenti<\/b>), seguito con grande distacco da Indonesia (7%, 235 milioni di utenti) e Brasile (6%, 206 milioni). E sempre in termini di presenza geografica,a stupire i ricercatori \u00e8 la quantit\u00e0 di numeri registrati su WhatsApp in Paesi che formalmente hanno bandito l’app di Meta<\/b>. Per esempio, in Corea del Nord sono ben cinque i numeri iscritti. L’Iran, che a giugno 2025 ha chiesto ai propri cittadini di cancellare l’app, mantiene ancora 59 milioni di account attivi (due terzi della popolazione). E in Cina, dove \u00e8 vietata, sono 2,3 milioni di utenti (su un campione di 1,4 miliardi di cittadini, quindi comunque una piccolissima percentuale).<\/p>\n Problema risolto (finalmente)?<\/p>\n Innocente falla di sistema? Pi\u00f9 o meno. Secondo i ricercatori austriaci, l’inesistenza (o l’inefficacia) di un limite nell’interrogare la rubrica di contatti WhatsApp potrebbe avere esposto i 3,5 miliardi di numeri a diversi rischi<\/b>. Innanzitutto, se non fosse stato fatto strettamente per motivi di ricerca, questo sistema di “enumerazione” dei profili avrebbe potuto portare alla nascita di database di numeri di telefono <\/b>registrati sull’app di messaggistica. E quindi numeri che possono essere sfruttati per attacchi phishing o spam<\/b>. Un database cos\u00ec esteso potrebbe essere sfruttato anche per attacchi mirati o per ricostruire la vita di una persona (per esempio tramite le immagini di profilo o le storie che si possono pubblicare su WhatsApp). Oltre ovviamente all’esposizione pubblica di dettagli sensibili <\/b>come quelli che hanno elencato i ricercatori nello studio. informazioni che possono essere utilizzate contro le persone stesse. Per non parlare di chi \u00e8 registrato al servizio nonostante sia bandito nel proprio Paese. I governi oppressivi cos\u00ec potrebbero sfruttare questo sistema per trovare dissidenti.<\/p>\n Intantoi ricercatori austriaci hanno segnalato il problema tramite il sistema di\u00a0\u00abbug bounty\u00bb<\/b> di Meta. Una pratica molto comune nelle aziende tech che permette agli utenti comuni (o agli esperti) di segnalare pericolose falle di sistema in cambio di una ricompensa. E Meta ha accolto la segnalazione, risolvendo il problema alla radice e limitando le operazioni di data scraping come quelle fatte dai ricercatori.<\/p>\n Tuttavia, non \u00e8 la prima volta che questo esatto problema \u00e8 stato segnalato all’azienda di Mark Zuckerberg. Gi\u00e0 nel 2017 un altro ricercatore, l’olandese Loran Kloeze<\/b>, aveva descritto questa falla di sistema, aggiungendo nel proprio blog personale che a questa tecnica poteva essere abbinato un software di riconoscimento facciale<\/a> <\/b>per creare potenzialmente un enorme database di informazioni personali attribuibili a specifiche persone. Uno scenario preoccupante che, per\u00f2, otto anni fa non \u00e8 stato preso in grande considerazione da Meta (allora chiamata ancora Facebook).<\/p>\n
E se, invece, potessimo controllare centinaia di milioni di contatti ogni ora<\/b>? Sarebbe strano, ma non impossibile. Questa \u00e8 la scoperta fatta da un gruppo di ricercatori dell’Universit\u00e0 di Vienna che in uno studio<\/a> ha evidenziato come questa falla di sistema <\/b>mascherata da innocente funzionalit\u00e0 pu\u00f2 averci esposto alle attenzioni di malintenzionati<\/b>. Una falla che era nota gi\u00e0 dal 2017 e che ha messo in pubblica piazza oltre 3,5 miliardi di account in tutto il mondo.<\/p>\n
Parte del problema risiede proprio nel fatto che i profili fossero attivi e quindi riconducibili a vere e proprie persone. La seconda parte \u00e8 legata al fatto che un’alta percentuale di utenti espone pubblicamente metadati sensibili.
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n<\/p>\n
Non solo. Circa una persona su tre ha scritto qualcosa sul proprio profilo. E se una parte di loro mantiene la scritta di default (\u00abCiao, sto usando WhatsApp\u00bb),\u00a0\u00abaltri rivelano pubblicamente informazioni sensibili o personali<\/b> nei loro testi personalizzati. Ad esempio, alcuni utenti rivelano la loro ideologia politica \u201cMake America Great Again\u201d, indicano la loro identit\u00e0 o orientamento sessuale \u201cLGBTQIA+\u201d, esprimono le loro credenze religiose citando versetti della Bibbia o del Corano, o addirittura fanno riferimento all’uso di droghe “Ciao, faccio uso di cocaina\u201d<\/b>\u00bb, scrivono i ricercatori.<\/p>\n