Prima di procedere
La popolarissima app di messaggistica WhatsApp si trova al centro di una controversia legata alla sicurezza dei dati dei suoi utenti. Una falla, rimasta aperta per anni, ha esposto i numeri di telefono di circa 3,5 miliardi di utenti, rendendo potenzialmente accessibili anche le loro foto profilo e gli stati. Questa vulnerabilità, come riportato dai ricercatori dell'Università di Vienna, ha permesso a chiunque, inclusi hacker e malintenzionati, di scansionare un'enorme quantità di numeri di telefono tramite WhatsApp Web e verificare quali fossero registrati sulla piattaforma.
La scoperta ha rivelato che, per oltre la metà degli utenti coinvolti, erano accessibili anche le foto profilo, mentre per quasi un terzo erano disponibili i testi dello stato. Un aspetto particolarmente allarmante è che questa falla era nota fin dal 2017, quando un altro ricercatore l'aveva segnalata senza ricevere la dovuta attenzione. La tecnica utilizzata era sorprendentemente semplice: provare tutti i numeri possibili, uno dopo l'altro, simulando l'aggiunta manuale di un contatto, ma su una scala infinitamente più grande.
I ricercatori austriaci sono stati in grado di verificare circa 100 milioni di numeri all'ora, sfruttando il fatto che WhatsApp Web non applicava alcun limite al numero di richieste di scoperta contatto effettuabili in un determinato intervallo di tempo. Questa mancanza di controlli ha reso la procedura automatizzabile ed estremamente efficace.
Meta, la società madre di WhatsApp, è stata nuovamente avvisata del problema ad aprile 2025 e ha finalmente implementato un sistema di limitazione del tasso di richieste (rate-limiting) solo a ottobre, bloccando di fatto la possibilità di ripetere la stessa operazione su larga scala. L'azienda ha minimizzato la gravità del problema, sostenendo che i dati esposti fossero informazioni di base disponibili pubblicamente e che i contenuti dei profili non fossero stati mostrati a chi li aveva resi privati tramite le impostazioni dell'account.
Tuttavia, i ricercatori sottolineano di non aver dovuto aggirare alcun meccanismo di difesa, semplicemente perché non ce n'erano. E se è vero che i dati raccolti nell'ambito dello studio sono stati immediatamente eliminati, resta l'enorme punto interrogativo legato a chi, negli anni precedenti, avrebbe potuto sfruttare la stessa metodologia senza lasciare tracce. Il rischio principale è quello di aver fornito una base di dati perfetta per operazioni di phishing, spam o attacchi mirati. Inoltre, sono emersi scenari ancora più inquietanti: i ricercatori hanno scoperto milioni di numeri registrati su WhatsApp anche in Paesi dove l'app è vietata, come Cina e Myanmar. In contesti del genere, ottenere un elenco completo degli utenti potrebbe teoricamente consentire ai governi di identificare e perseguitare chi usa servizi di comunicazione non autorizzati.
Un altro aspetto preoccupante è che, analizzando le chiavi crittografiche associate agli account, gli studiosi hanno individuato migliaia di duplicati, probabilmente riconducibili a client WhatsApp non ufficiali, spesso utilizzati da truffatori, che implementano in modo scorretto il sistema di cifratura end-to-end. Questa vicenda mette in luce un problema più ampio: i numeri di telefono non sono stati pensati per fungere da identificatori segreti, non sono abbastanza complessi, non offrono sufficiente casualità e soprattutto non possono essere combinati con facilità dagli utenti. Ciò rende necessaria l'adozione di sistemi di protezione aggiuntivi e più efficaci.
WhatsApp sta testando da tempo un sistema basato su username, che potrebbe almeno in parte mitigare questo tipo di rischi. Tuttavia, non è ancora chiaro quando sarà disponibile per tutti. Nel frattempo, è fondamentale che gli utenti controllino le impostazioni della privacy, limitino la visibilità della foto profilo ai propri contatti e valutino con attenzione quali informazioni personali inserire nella sezione info.
La vicenda solleva importanti interrogativi sulla sicurezza dei servizi che utilizziamo quotidianamente e sulle priorità che aziende come Meta attribuiscono al bilanciamento tra comodità d'uso e protezione dei dati. Resta da vedere se l'adozione degli username e di altri eventuali correttivi riuscirà davvero a prevenire episodi simili in futuro. È cruciale che gli utenti siano consapevoli dei rischi e adottino misure di protezione adeguate per salvaguardare la propria privacy online, in un panorama digitale sempre più complesso e minaccioso.
