Scoperta falla di WhatsApp: ricercatori recuperano 3,5 miliardi di account

Un semplice gesto quotidiano, controllare i propri contatti su WhatsApp, può trasformarsi in un varco enorme per accedere a informazioni personali su scala globale. È quanto dimostra uno studio condotto da un gruppo di analisti dell’Università di Vienna e di SBA Research, che ha individuato una vulnerabilità nel sistema di contact discovery dell’applicazione, riuscendo a ottenere dati relativi a circa 3,5 miliardi di profili registrati in 245 Paesi. Il tutto senza hackerare server, né aggirare la crittografia end-to-end, ma sfruttando un meccanismo interno progettato per agevolare la creazione della rubrica digitale.

La falla, se fosse stata sfruttata con intenti criminali, avrebbe potuto generare «la più grande fuga di dati nella storia della sicurezza informatica», come sottolineano i ricercatori. Nel dettaglio, attraverso il confronto automatizzato tra rubrica e database dell’app, gli studiosi hanno interrogato fino a 100 milioni di numeri ogni ora, scaricando informazioni pubbliche come numero di telefono, foto profilo, testo Info e chiavi pubbliche. L’operazione è stata realizzata tra settembre 2024 e aprile 2025 usando appena cinque profili autenticati e un singolo server universitario.

«Se noi siamo riusciti a recuperare questi dati con estrema facilità, altri avrebbero potuto fare lo stesso», avverte Max Günther, uno degli autori dello studio. I dati raccolti sono stati distrutti e gli analisti hanno avvisato Meta in aprile. L’azienda, tuttavia, ha introdotto contromisure solo a ottobre, minimizzando la portata del problema. In una dichiarazione a Wired, Nitin Gupta, ingegnere capo di WhatsApp, ha affermato che quanto ottenuto dai ricercatori sarebbe «informazione pubblica di base», aggiungendo che «non ci sono prove che attori malevoli abbiano sfruttato la vulnerabilità».

La questione però non si limita alla quantità di numeri esfiltrati. I ricercatori hanno analizzato la visibilità dei dati Paese per Paese: negli Stati Uniti il 44% degli utenti mostra la foto profilo e il 33% un testo Info; in India le foto pubbliche salgono al 62%, in Brasile al 61%. Perfino in nazioni dove WhatsApp è ufficialmente bandito, come Cina e Myanmar, sono stati trovati utenti attivi. Le immagini e le frasi di stato hanno inoltre rivelato dettagli sensibili come orientamenti politici, religiosi, riferimenti a siti di incontri e perfino indirizzi e-mail di dipendenti pubblici.

La combinazione di questi elementi aumenta esponenzialmente i rischi di cyber-attacchi mirati. Con numeri di telefono, immagini del profilo e chiavi pubbliche associate, un malintenzionato potrebbe strutturare campagne di phishing estremamente personalizzate, manipolare conversazioni, o addirittura estorcere denaro facendo leva su informazioni private. «I risultati dello studio ci ricordano che anche i sistemi maturi e considerati sicuri possono contenere difetti di progettazione con conseguenze nel mondo reale», osserva l’autore Gabriel Gegenhuber.

Il caso riaccende il dibattito sulla sicurezza delle app di messaggistica, mostrando quanto anche i meccanismi più ordinari — come l’aggiornamento automatico della rubrica — possano diventare un potenziale punto debole. In un ecosistema digitale in continua evoluzione, sottolineano gli esperti, la privacy non è mai definitivamente garantita: richiede vigilanza costante, aggiornamenti continui e una progettazione attenta agli scenari più critici.