Chi utilizza quotidianamente WhatsApp (praticamente chiunque verrebbe da dire) conosce bene la comodità del suo sistema di ricerca dei contatti: basta aggiungere un numero di telefono in rubrica e l’app, come sempre in pochi istanti, mostra non solo se quell’utente è iscritto al servizio ma anche l’immagine profilo e il testo associato. Una soluzione semplice, immediata, spesso e volentieri data per scontata; peccato che proprio questa facilità di utilizzo abbia aperto la porta a quella che i ricercatori definiscono la più ampia esposizione di numeri di telefono mai documentata.
Secondo quanto riportato dagli studiosi dell’Università di Vienna infatti, fino a pochi mesi fa chiunque, inclusi gruppi di hacker organizzati e attori malevoli con obbiettivi ben più seri del semplice spam, poteva scansionare miliardi di numeri telefonici attraverso WhatsApp Web e verificare automaticamente quali fossero registrati sulla piattaforma; non solo, per oltre la metà dei 3,5 miliardi di utenti coinvolti erano accessibili anche le foto profilo, mentre per quasi un terzo erano disponibili i testi dello stato.
Segui TuttoAndroid su Google Discover
Una falla nota da anni in WhatsApp ma ignorata fino a poco tempo fa
La parte più sorprendente e preoccupante non riguarda tanto l’esistenza delle vulnerabilità, quanto il fatto che fosse stata segnalata nel 2017 da un altro ricercatore, senza però ricevere la dovuta attenzione. La tecnica utilizzata è disarmante nella sua semplicità: provare, uno dopo l’altro, tutti i numeri possibili, proprio come farebbe un qualsiasi utente aggiungendo un contatto manualmente, solo su scala infinitamente più grande.
Gli studiosi austriaci sono riusciti a verificare circa 100 milioni di numeri all’ora, sfruttando il fatto che WhatsApp Web, nonostante gli avvisi ricevuti nel corso degli anni, non applicasse alcun limite sul numero di richieste di scoperta contatto effettuabili in un determinato intervallo di tempo; un dettaglio che, come evidente, ha reso la procedura automatizzabile e straordinariamente efficace.
Meta, avvisata nuovamente ad aprile 2025, ha finalmente implementato un sistema di rate-limiting solo a ottobre, bloccando di fatto la possibilità di ripetere la stessa operazione su larga scala. L’azienda, come spesso accade in questi casi, tende a ridimensionare la gravità del problema sostenendo che i dati esposti fossero informazioni di base disponibili pubblicamente, e che i contenuti dei profili non fossero stati mostrati a chi li aveva resi privati tramite impostazioni dell’account.
Tuttavia, gli stessi ricercatori sottolineano come non abbiano dovuto aggirare alcun meccanismo di difesa, semplicemente perché non ce n’erano; e se è vero che i dati raccolti nell’ambito dello studio sono stati immediatamente eliminati, resta l’enorme punto interrogativo legato a chi, negli anni precedenti, avrebbe potuto sfruttare la stessa metodologia senza lasciare tracce.
Il rischio principale, ovviamente, è quello di aver fornito una base di dati praticamente perfetta per operazioni di phishing, spam o attacchi mirati, ma emergono scenari ancora più inquietanti: i ricercatori hanno scoperto milioni di numeri registrati su WhatsApp anche in Paesi dove l’app è vietata, come Cina e Myanmar. In contesti del genere, ottenere un elenco completo degli utenti potrebbe teoricamente consentire ai governi di identificare e perseguitare chi usa servizi di comunicazione non autorizzati.
Non meno preoccupante il fatto che, analizzando le chiavi crittografiche associate agli account, gli studiosi abbiano individuato migliaia di duplicati, probabilmente riconducibili a client WhatsApp non ufficiali, spesso utilizzati da truffatori, che implementano in modo scorretto il sistema di cifratura end-to-end.
Da questa vicenda emerge un elemento che, come spesso sottolineato dagli esperti, riguarda anche molte altre piattaforme: i numeri di telefono non sono stati pensati per fungere da identificatori segreti, non sono abbastanza complessi, non offrono sufficiente casualità e soprattutto non possono essere combinati con facilità dagli utenti; una condizione che rende inevitabile la necessità di sistemi di protezione aggiuntivi e più efficaci.
Non a caso, WhatsApp sta testando da tempo un sistema basato su username, che potrebbe almeno in parte mitigare questo tipo di rischi; non è però chiaro quando sarà disponibile per tutti, per cui bisognerà attendere ancora.
Come sempre, la buona notizia è che i messaggi restano protetti grazie alla crittografia end-to-end, la cattiva notizia è che il profilo pubblico, troppo spesso configurato con leggerezza, rappresenta una finestra accessibile a chiunque sappia dove guardare.
Il consiglio dunque è quello che molti di voi avranno sentito ripetere nel corso degli anni; controllare le impostazioni della privacy, limitare la visibilità della foto profilo ai propri contatti e valutare con attenzione quali informazioni personali inserire nella sezione info.
La vicenda, in ogni caso, apre interrogativi importanti sulla sicurezza dei servizi che utilizziamo quotidianamente e sulle priorità che aziende come Meta attribuiscono al bilanciamento tra comodità d’uso e protezione dei dati. Non resta che attendere gli sviluppi futuri e capire se l’adozione degli username, e di altri eventuali correttivi, riuscirà davvero a prevenire episodi simili.