Un gruppo di ricercatori dell’Università di Vienna ha dimostrato come un meccanismo standard dell’applicazione permettesse di raccogliere dati su scala globale. In Italia coinvolti oltre 55 milioni di account attivi.
Una funzione apparentemente innocua
Una funzione che usiamo tutti i giorni senza pensarci, quella che ci permette di sapere se un numero in rubrica ha un profilo attivo, si è trasformata nella porta d’accesso a una delle più grandi raccolte di dati personali mai documentate.
Un gruppo di studiosi dell’Università di Vienna e del centro di ricerca austriaco SBA Research è riuscito a mappare 3,5 miliardi di account attivi in 245 Paesi sfruttando proprio quel sistema che dovrebbe semplificarci la vita. Il controllo automatico dei contatti.
La ricerca, condotta tra dicembre 2024 e aprile 2025, ha portato alla luce una vulnerabilità che esisteva da anni e che Meta, proprietaria della piattaforma, ha corretto (in parte) soltanto nello scorso mese di ottobre. Gli esperti non hanno dovuto violare server né aggirare sistemi di protezione complessi. È bastato automatizzare una procedura che chiunque di noi compie quando aggiunge un nuovo contatto nella lista: verificare se quel numero è registrato su WhatsApp. Con uno script relativamente semplice e un server universitario, il team ha dimostrato di poter interrogare oltre 100 milioni di numeri ogni ora attraverso la versione web dell’applicazione. Senza incontrare alcun blocco o limitazione da parte del sistema.
Una falla aperta dal 2017
Il problema era tutt’altro che sconosciuto. Già nel 2017 un ricercatore olandese, Loran Kloeze, aveva segnalato a Meta la possibilità di sfruttare il meccanismo di ricerca contatti per raccogliere informazioni su larga scala. La segnalazione era stata ignorata. Otto anni dopo, il gruppo austriaco ha dimostrato non solo che la falla era ancora lì, ma che nel frattempo le dimensioni del fenomeno erano esplose. Da decine di milioni di utenti potenzialmente esposti si è passati a miliardi di account attivi mappabili in poche ore.
I numeri estratti non erano casuali. Hanno permesso di identificare 55 milioni di account italiani, oltre 749 milioni in India e persino 2,3 milioni di profili cinesi, in un Paese dove l’applicazione è ufficialmente vietata dal governo.
Insieme ai numeri di telefono, i ricercatori sono riusciti a ottenere anche le foto profilo e i messaggi di stato nel 57% dei casi. Dati che, se incrociati con altre informazioni, aprono la strada a profili dettagliati degli utenti. Opinioni politiche, religione, contatti lavorativi, link a piattaforme di incontri. Un vero tesoro per chiunque voglia condurre campagne di phishing mirate, operazioni di tracciamento di massa o attività di spionaggio. Il tutto senza nemmeno dover compromettere la crittografia dei messaggi, che è rimasta intatta durante tutta l’operazione.
I limiti arrivati troppo tardi
Dopo mesi di comunicazioni con i ricercatori viennesi, Meta ha introdotto un sistema di limitazione delle richieste automatiche, che impedisce di effettuare interrogazioni massicce in un breve lasso di tempo. Le correzioni sono diventate operative a ottobre 2025. Ma il tempo trascorso tra la segnalazione e l’intervento ha fatto discutere: la vulnerabilità è stata comunicata ad aprile e un vero sistema di protezione è arrivato solo sei mesi dopo. Fino a quel momento, milioni di numeri sono rimasti alla mercé di chiunque avesse le competenze tecniche per replicare l’operazione.
La società ha dichiarato di aver collaborato con gli studiosi nell’ambito del proprio programma di segnalazione delle vulnerabilità, il Bug Bounty, e che i dati raccolti sono stati cancellati subito dopo la conclusione della ricerca. Ma l’episodio ha riacceso il dibattito su un tema centrale: i numeri di telefono non sono mai stati progettati per funzionare come identificatori segreti.
Sono prevedibili, non vengono generati casualmente e non possono essere sostituiti con facilità. Usarli come base per un sistema di messaggistica globale significa esporli a rischi strutturali che, senza protezioni adeguate, diventano inevitabili.
© Riproduzione riservata