Scoperta una vulnerabilità su WhatsApp Web, a rischio miliardi di numeri
Scoperta una falla nella sicurezza di WhatsApp che ha esposto oltre 3,5 miliardi di numeri che potrebbero essere utilizzati per phishing e attacchi informatici
In Sintesi
- La funzione di ricerca contatti di WhatsApp Web consentiva di verificare automaticamente e massivamente quali numeri telefonici fossero registrati sulla piattaforma, esponendo miliardi di numeri.
- La vicenda ha evidenziato che i numeri di telefono non sono identificatori sicuri perché sono prevedibili e difficili da cambiare, spingendo WhatsApp a lavorare su un futuro sistema basato su username.
La ricerca dei contatti su WhatsApp è diventato un gesto automatico nella moderna idea di comunicazione e, dopo aver salvato un numero in rubrica, non resta che aprire l’app di messaggistica per iniziare a chattare.
Un sistema semplice, utilizzato milioni di volte al giorno che, però, potrebbe nascondere problemi ben più gravi. Sembra infatti che questa funzione di WhatsApp abbia portato alla più grande esposizione di numeri telefonici mai documentata, cosa che inevitabilmente sta spingendo gli utenti a interrogarsi sul rapporto tra semplicità di utilizzo e sicurezza.
Che sta succedendo su WhatsApp?
Secondo uno studio condotto dall’Università di Vienna, fino a poco fa WhatsApp Web consentiva di verificare automaticamente quali numeri, tra miliardi di possibili combinazioni, fossero registrati sulla piattaforma.
A fronte di questo, gli esperti hanno stimato oltre 3,5 miliardi di numeri potenzialmente verificabili, più della metà con foto profilo visibili e quasi un terzo associati anche al testo dello stato. Si tratta di informazioni piuttosto dettagliate che potrebbero essere utilizzate tranquillamente dagli hacker per attacchi phishing, spam o altre aggressioni digitali mirate.
A fronte di questo, dunque, i malintenzionati digitali potrebbero generare numeri telefonici in sequenza e verificarli uno alla volta, proprio come farebbe un utente che aggiunge un nuovo contatto, ma più in grande e in modo completamente automatizzato, con la possibilità di accedere a questo immenso database in pochi minuti. Gli studiosi, ad esempio, sono riusciti a verificare fino a 100 milioni di numeri ogni ora, grazie all’assenza totale di limiti nel sistema di “contact discovery” di WhatsApp Web.
La parte più sorprendente dello studio dell’Università di Vienna non è tanto la vulnerabilità in sé, quanto il fatto che fosse nota già dal 2017, quando un ricercatore aveva segnalato il problema, senza però ottenere risposte da Meta.
Cosa cambia per la privacy degli utenti
Nonostante gli avvisi ripetuti nel corso degli anni, Meta è intervenuta solo dopo l’ultima segnalazione di aprile 2025, mentre la correzione è arrivata a ottobre con l’introduzione di un sistema di rate-limiting, che impedisce di effettuare interrogazioni massicce nel breve periodo.
L’azienda ha minimizzato il problema, sostenendo che tali informazioni fossero già pubbliche e che i profili con impostazioni più restrittive non fossero coinvolti.
Nonostante queste rassicurazioni, il fatto fa emergere un fenomeno preoccupante: migliaia di chiavi crittografiche duplicate, probabilmente generate da client non ufficiali utilizzati da scammer e malintenzionati, che implementano in modo errato la crittografia end-to-end.
Oltre a questo, la vicenda sottolinea anche un fatto che gli esperti di sicurezza informatica sostengono da anni: i numeri di telefono non sono stati progettati per funzionare come identificatori segreti, perché sono prevedibili, non vengono generati in modo sufficientemente casuale e non possono essere modificati con facilità dagli utenti.
Per questo motivo, WhatsApp sta lavorando a un sistema basato su username che potrebbe ridurre la dipendenza dal numero telefonico rendendo più sicura la piattaforma.
Al momento, quindi, è importante ricordare che la crittografia end-to-end protegge solo i messaggi, ma un profilo pubblico resta un punto debole per la piattaforma. Tutti gli utenti, quindi dovrebbero controllare le impostazioni della privacy, limitando la visibilità della foto profilo ai soli contatti e valutando quali informazioni personali sia prudente rendere pubbliche.
