Disastro WhatsApp: esposti 3,5 miliardi di account per una banale vulnerabilità

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/telefo...ta_146452.html

Un gruppo di ricercatori dell'Università di Vienna ha documentato una vulnerabilità nel meccanismo di scoperta contatti di WhatsApp che ha permesso l'enumerazione di oltre 3,5 miliardi di account attivi. La falla, segnalata a Meta già dal 2017, è stata risolta nell'ottobre 2025

Click sul link per visualizzare la notizia.

[Unax]

hanno risolto con comodo

[aqua84]

Quote:

Originariamente inviato da Unax

hanno risolto con comodo

Il programmatore di WhatsApp è stato impegnato a fare il tema Dark tra il 2017 e il 2025.
O faceva quello o sistemava il bug.

[bonzoxxx]

Quote:

Originariamente inviato da aqua84

Il programmatore di WhatsApp è stato impegnato a fare il tema Dark tra il 2017 e il 2025.
O faceva quello o sistemava il bug.

BUAHAHAHAHHAHAHAHAAHHAA
Mi hai fatto morire!!

[h.rorschach]

> Nitin Gupta

[pachainti]

L'applicazione più sicura al mondo protetta da crittografia e2e
Poi ha più buchi di uno scolapasta e di un groviera...

[destroyer85]

Ma questi di preciso cosa hanno scoperto? che si può fare un bruteforce attack a wa.me/[NumeroDiTelefono]
Mi fa ancora più ridere l'offerta di aiuto dei ricercatori di fornire un aiuto nell'implementare una soluzione al problema.

Ma il migliore è sempre pachainti che mostra le CVE di whatsapp come se potessero mai calare o se il numero totale volesse dire qualcosa... e un servizio di Report (cioè Report...) che parla di Cybersecurity del 2019. Premi F5 ogni tanto. Cosa c'entri questo poi con la E2E encryption non si sa.

[pachainti]

Quote:

Originariamente inviato da destroyer85

Ma questi di preciso cosa hanno scoperto? che si può fare un bruteforce attack a wa.me/[NumeroDiTelefono]
Mi fa ancora più ridere l'offerta di aiuto dei ricercatori di fornire un aiuto nell'implementare una soluzione al problema.

Dall'articolo scientifico:

Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy
WhatsApp, with 3.5 billion active accounts as of early 2025, is the world’s largest instant messaging platform. Given its massive user base, WhatsApp plays a critical role in global communication. To initiate conversations, users must first discover whether their contacts are registered on the platform. This is achieved by querying WhatsApp’s servers with mobile phone numbers extracted from the user’s address book (if they allowed access). This architecture inherently enables phone number enumeration, as the service must allow legitimate users to query contact availability. While rate limiting is a standard defense against abuse, we revisit the problem and show that WhatsApp remains highly vulnerable to enumeration at scale. In our study, we were able to probe over a hundred million phone numbers per hour without encountering blocking or effective rate limiting.
Our findings demonstrate not only the persistence but the severity of this vulnerability. We further show that nearly half of the phone numbers disclosed in the 2021 Facebook data leak are still active on WhatsApp, underlining the enduring risks associated with such exposures. Moreover, we were able to perform a census of WhatsApp users, providing a glimpse on the macroscopic insights a large messaging service is able to generate even though the messages themselves are end-to-end encrypted. Using the gathered data, we also discovered the re-use of certain X25519 keys across different devices and phone numbers, indicating either insecure (custom) implementations, or fraudulent activity.
In this updated version of the paper, we also provide insights into the collaborative remediation process through which we confirmed that the underlying rate-limiting issue had been resolved.

Il problema è già noto da anni, ma non lo hanno risolto evidentemente (tabella). All the Numbers are US: Large-scale Abuse of Contact Discovery in Mobile Messengers

Quote:

Originariamente inviato da destroyer85

Ma il migliore è sempre pachainti che mostra le CVE di whatsapp come se potessero mai calare o se il numero totale volesse dire qualcosa... e un servizio di Report (cioè Report...) che parla di Cybersecurity del 2019. Premi F5 ogni tanto. Cosa c'entri questo poi con la E2E encryption non si sa.

Whatsapp utilizza la crittografia e2e come marketing, ma è tutto tranne che sicuro e privato, come dimostrano i fatti. In particolare, è centralizzato, closed source con binari offuscati e quindi occorre fidarsi di meta, pieno di vulnerabilità critiche oltre ad avere di default i backup (per fortuna solo i media, niente messaggi, sticker e contatti) in chiaro su google e apple (in ogni caso sono privi di crittografia e2e e meta può rigenerare la chiave di decifratura). Opzionalmente supporta la crittografia e2e dei backup, ma è noto che il 90-95% degli utenti non cambia le impostazioni di default. Voto C su TOSDR.

P.S. un consiglio, prima di scrivere, meglio leggere e informarsi

[destroyer85]

L'ho letta la notizia e conosco a memoria la tua litania.
Cosa hanno ricavato da questo "attacco"? Pseudonimi e foto profilo. Che gran risultato.
WhatsApp è il sistema di messaggistica più sotto controllo al mondo, se ci fosse una minima possibilità che la sua crittografia E2E avesse una minima crepa ci sarebbe notizie apocalittiche.
Per quanto riguarda i backup (che non sono neanche obbligatori) se ti interessa la questione lo puoi attivare oppure tenere la crittografia di default generata partendo dal numero di telefono (per le chat).
I server di WhatsApp gestiranno una mole talmente grande di dati che non sarà sicuramente facile beccare gli abusi senza rischiare di tagliare fuori qualcuno.

Adesso tira fuori l'idea di gestire 3,5 miliardi di contatti con un sistema decentralizzato che mi faccio un'altra risata.

[cronos1990]

Quote:

Originariamente inviato da destroyer85

L'ho letta la notizia e conosco a memoria la tua litania.
Cosa hanno ricavato da questo "attacco"? Pseudonimi e foto profilo. Che gran risultato.

Scusa, ma con tutto rispetto, anche fossero solo foto profilo e pseudonimi NON dovrebbe accadere, soprattutto quando si continua a dire che Whatsapp è a prova di bomba (cosa sulla quale avrei da ridire, ma lasciamo perdere).

Qui parliamo di una falla di sicurezza che esiste da 8 anni. Posso capire se le priorità di sicurezza da risolvere erano altre, ma questo non vuol dire rimandare per un tempo così lungo fino a quando non succede qualcosa. Tra l'altro non è la prima volta che Whatsapp viene in qualche modo bucato o ha delle criticità di sicurezza; vedasi ad esempio quando proposero la crittografia E2E come il Santo Graal, ma che non riguardava i backup delle chat che rimasero scoperti per non so quanto tempo.

Considerando l'azienda che sta dietro a quest'applicazione, non mi sembra che facciano un buon lavoro.

[destroyer85]

Quote:

Originariamente inviato da cronos1990

Scusa, ma con tutto rispetto, anche fossero solo foto profilo e pseudonimi NON dovrebbe accadere, soprattutto quando si continua a dire che Whatsapp è a prova di bomba

Said nobody ever. Solo chi vuole spingere altre applicazioni (di privacy ben più dubbia come telegram) dice che whatsapp non è così sicuro come sembra perché se non cripti il backup google e apple possono accedere ai backup conoscendo il numero di telefono.

Quote:

Originariamente inviato da cronos1990

(cosa sulla quale avrei da ridire, ma lasciamo perdere).

Non lasciare perdere, argomenta

Quote:

Originariamente inviato da cronos1990

Qui parliamo di una falla di sicurezza che esiste da 8 anni. Posso capire se le priorità di sicurezza da risolvere erano altre, ma questo non vuol dire rimandare per un tempo così lungo fino a quando non succede qualcosa. Tra l'altro non è la prima volta che Whatsapp viene in qualche modo bucato o ha delle criticità di sicurezza; vedasi ad esempio quando proposero la crittografia E2E come il Santo Graal, ma che non riguardava i backup delle chat che rimasero scoperti per non so quanto tempo.

Essite una CVE di questa "falla" che esiste dal 2017?
I backup delle chat sono praticamente da sempre criptati, non sono mai stati in chiaro. Il fatto che fossero criptati con una chiave derivata dal telefono era ed è il giusto compromesso tra sicurezza e usabilità. Di 3,5 miliardi di persone sai quante si sarebbero perse la chiave e di conseguenza tutte le chat?

Quote:

Originariamente inviato da cronos1990

Considerando l'azienda che sta dietro a quest'applicazione, non mi sembra che facciano un buon lavoro.

È vero ma questo non prova che l'applicazione sia intercettabile o spiabile (e non tirate fuori il documento dell'FBI perché se lo leggete bene mi da ragione)

[marcram]

Quote:

Originariamente inviato da destroyer85

Adesso tira fuori l'idea di gestire 3,5 miliardi di contatti con un sistema decentralizzato che mi faccio un'altra risata.

Tipo i quasi 8 miliardi di account email?

Quote:

Originariamente inviato da destroyer85

Said nobody ever. Solo chi vuole spingere altre applicazioni (di privacy ben più dubbia come telegram) dice che whatsapp non è così sicuro come sembra perché se non cripti il backup google e apple possono accedere ai backup conoscendo il numero di telefono.

Non credo ci sia al mondo una sola entità attenta alla privacy che consigli Whatsapp come sistema di messaggistica.
E non solo per i backup. Per i metadati, per i moderatori, per il codice chiuso, ecc...

[pachainti]

Quote:

Originariamente inviato da destroyer85

L'ho letta la notizia e conosco a memoria la tua litania.
Cosa hanno ricavato da questo "attacco"? Pseudonimi e foto profilo. Che gran risultato.

Niente, veramente privato. La crittografia e2e è solo marketing.

Quote:

Originariamente inviato da destroyer85

WhatsApp è il sistema di messaggistica più sotto controllo al mondo, se ci fosse una minima possibilità che la sua crittografia E2E avesse una minima crepa ci sarebbe notizie apocalittiche.

16 CVE di livello critico ovvero con possibilità di controllo da remoto (RCE) (aprile e leggile). Solo per questo andrebbe disinstallata. Chissà quante falle senza CVE ci saranno...essendo closed source e con binari offuscati, nessuno può scoprirlo.

Quote:

Originariamente inviato da destroyer85

Per quanto riguarda i backup (che non sono neanche obbligatori) se ti interessa la questione lo puoi attivare oppure tenere la crittografia di default generata partendo dal numero di telefono (per le chat).
I server di WhatsApp gestiranno una mole talmente grande di dati che non sarà sicuramente facile beccare gli abusi senza rischiare di tagliare fuori qualcuno.

Purtroppo non è cosi semplice. Se anche tu attivi il backup con crittografia e2e, ma una persona in un gruppo ha il backup su google e icloud, la tua chat diventa accessibile (questo vale per ogni chat di gruppo nella pratica). In realtà, con la nuova funzionalità windows copilot recall ci pensa microsoft a scattare le schermate delle chat e anche in questo caso è sufficiente un solo utente con windows e tale funzionalità attiva (signal e brave hanno disattivato tale funzionalità).

Quote:

Originariamente inviato da destroyer85

Adesso tira fuori l'idea di gestire 3,5 miliardi di contatti con un sistema decentralizzato che mi faccio un'altra risata.

Non contano le parole, ma i fatti.

P.S. whatsapp è una delle applicazioni che passa più dati al FBI...non è diversa dalla corazzata Potemkin di Fantozzi.

[destroyer85]

Quote:

Originariamente inviato da marcram

Tipo i quasi 8 miliardi di account email?

Uguale uguale a un servizio di messaggistica istantanea. Talmente evoluto che non sono ancora riusciti a standardizzare l'E2E encryption.

Quote:

Originariamente inviato da marcram

Non credo ci sia al mondo una sola entità attenta alla privacy che consigli Whatsapp come sistema di messaggistica.
E non solo per i backup. Per i metadati, per i moderatori, per il codice chiuso, ecc...

Cosa sarebbero i moderatori di whatsapp?

Quote:

Originariamente inviato da pachainti

Niente, veramente privato. La crittografia e2e è solo marketing.

Dimostralo o sono solo chiacchiere al vento.

Quote:

Originariamente inviato da pachainti

16 CVE di livello critico ovvero con possibilità di controllo da remoto (RCE) (aprile e leggile). Solo per questo andrebbe disinstallata. Chissà quante falle senza CVE ci saranno...essendo closed source e con binari offuscati, nessuno può scoprirlo.

Tutte quelle CVE sono state patchate e la più recente è del 2022

Quote:

Originariamente inviato da pachainti

Purtroppo non è cosi semplice. Se anche tu attivi il backup con crittografia e2e, ma una persona in un gruppo ha il backup su google e icloud, la tua chat diventa accessibile (questo vale per ogni chat di gruppo nella pratica). In realtà, con la nuova funzionalità windows copilot recall ci pensa microsoft a scattare le schermate delle chat e anche in questo caso è sufficiente un solo utente con windows e tale funzionalità attiva (signal e brave hanno disattivato tale funzionalità).

Ma G.A.C. sei al di fuori del recinto dell'E2E

Quote:

Originariamente inviato da pachainti

Non contano le parole, ma i fatti.

P.S. whatsapp è una delle applicazioni che passa più dati al FBI...non è diversa dalla corazzata Potemkin di Fantozzi.

Quote:

Originariamente inviato da destroyer85

È vero ma questo non prova che l'applicazione sia intercettabile o spiabile (e non tirate fuori il documento dell'FBI perché se lo leggete bene mi da ragione)

Ed eccolo immancabile il report FBI.
Cito testualmente (così magari la volta prossima evitate di tirarlo in ballo per dire che non è E2E ma dubito visto che non volete sentire come il peggior sordo)
Message content: Limited*
[...]
*If target is using an iPhone and iCloud backups enabled, iCloud returns may contain WhatsApp data, to include message content

[marcram]

Quote:

Originariamente inviato da destroyer85

Uguale uguale a un servizio di messaggistica istantanea. Talmente evoluto che non sono ancora riusciti a standardizzare l'E2E encryption.

Cosa c'entra?
Dai, non arrampichiamoci sugli specchi.
Hai detto che non è possibile gestire 3,5 miliardi di contatti con un sistema decentralizzato, ti faccio un esempio di sistema "ventennale" decentralizzato che gestisce quasi 8 miliardi di account, e mi dici che è un'altra cosa...

Quote:

Cosa sarebbero i moderatori di whatsapp?

https://gizmodo.com/whatsapp-moderat...ges-1847629241
Strano che non sapessi della loro esistenza...

Quote:

Cito testualmente (così magari la volta prossima evitate di tirarlo in ballo per dire che non è E2E ma dubito visto che non volete sentire come il peggior sordo)
Message content: Limited*

E i metadati?
Come dicono molti, i metadati spesso dicono più cose del contenuto stesso dei messaggi...

[destroyer85]

E tu paragoni un sistema di messaggistica istantanea con la posta elettronica Ma perché non un bel server FTP con un file di testo dove ognuno scrive i messaggi?!

I moderatori agiscono solo su segnalazioni e vedono parte della chat che viene segnalata, e, indovina, può segnalare il messaggio solo il mittente o il destinatario. E anche stavolta l'E2E la smontiamo un'altra volta.

HAHAHAH i metadati dicono più cose del contenuto del messaggio

[pachainti]

Quote:

Originariamente inviato da destroyer85

Uguale uguale a un servizio di messaggistica istantanea. Talmente evoluto che non sono ancora riusciti a standardizzare l'E2E encryption.

Ne avevamo già parlato e ti avevamo mostrato la tua scarsa conoscenza dell'argomento.

Quote:

Originariamente inviato da destroyer85

Dimostralo o sono solo chiacchiere al vento.

In realtà non sta a me dimostrare una certa affermazione, ma a whatsapp. In assenza di codice open source e quindi ispezionabile, occorre fidarsi di loro e visto lo storico di meta, solo un ingenuo può farlo. Inoltre, il principio di Kerckhoffs afferma che il sistema deve essere noto e la sicurezza deve basarsi unicamente sulla scelta della chiave di cifratura. Whatsapp applica la sicurezza tramite segretezza. Tu ti fidi della loro crittografia e2e? Spero di no...

Quote:

Originariamente inviato da destroyer85

Tutte quelle CVE sono state patchate e la più recente è del 2022

Quindi era un colabrodo, oggi i buchi noti sono stati tappati, ma quanti ce ne sono non noti? Visto lo storico, potrebbero essercene molti rispetto alle altre applicazioni di messaggistica.

Quote:

Originariamente inviato da destroyer85

Ma G.A.C. sei al di fuori del recinto dell'E2E

Come al solito, non hai capito. Se anche tu attivi il backup con crittografia e2e, ma una persona in un gruppo ha il backup su google e icloud, la tua chat diventa accessibile (questo vale per ogni chat di gruppo nella pratica). Ciao ciao crittografia e2e.

Quote:

Originariamente inviato da destroyer85

Ed eccolo immancabile il report FBI.
Cito testualmente (così magari la volta prossima evitate di tirarlo in ballo per dire che non è E2E ma dubito visto che non volete sentire come il peggior sordo)
Message content: Limited*
[...]
*If target is using an iPhone and iCloud backups enabled, iCloud returns may contain WhatsApp data, to include message content

Guarda ti ho già scritto che il backup su cloud di terze parti ha in chiaro "solo" i media, ma non i messaggi, ma purtroppo non leggi (meta può rigenerare la chiave di cifratura). Nessuno ha scritto che non sia e2e, ma che whatsapp passa molti dati al FBI, più dei concorrenti.

[destroyer85]

Quote:

Originariamente inviato da pachainti

In realtà non sta a me dimostrare una certa affermazione, ma a whatsapp. In assenza di codice open source e quindi ispezionabile, occorre fidarsi di loro e visto lo storico di meta, solo un ingenuo può farlo. Inoltre, il principio di Kerckhoffs afferma che il sistema deve essere noto e la sicurezza deve basarsi unicamente sulla scelta della chiave di cifratura. Whatsapp applica la sicurezza tramite segretezza. Tu ti fidi della loro crittografia e2e? Spero di no...

Mi fido del fatto che negli anni sono proliferati client alternativi e che, essendo il client di messaggistica più usato e più bersagliato, se ci fosse una vaga possibilità che non fosse realmente EE2E qualcuno di quelli che ha decompilato l'app e vari analizzatori di sicurezza se ne sarebbero accorti.

Quote:

Originariamente inviato da pachainti

Come al solito, non hai capito. Se anche tu attivi il backup con crittografia e2e, ma una persona in un gruppo ha il backup su google e icloud, la tua chat diventa accessibile (questo vale per ogni chat di gruppo nella pratica). Ciao ciao crittografia e2e.

E te lo ripeto un'altra volta GAC! Questo non vale solo per le chat di gruppo, ma anche per le chat con i singoli utenti.
Io ho attivo il backup con chiave, mia madre no, se uno vuole sapere cosa ci siamo scritti io e mia madre basta accedere al backup di mia madre. Ma il messaggio era già arrivato da un End all'altro End.
Se non lo vuoi così devi usare Telegram dove uno può cancellare tutta la chat (bella �� sinceramente)

[pachainti]

Quote:

Originariamente inviato da destroyer85

E te lo ripeto un'altra volta GAC! Questo non vale solo per le chat di gruppo, ma anche per le chat con i singoli utenti.
Io ho attivo il backup con chiave, mia madre no, se uno vuole sapere cosa ci siamo scritti io e mia madre basta accedere al backup di mia madre. Ma il messaggio era già arrivato da un End all'altro End.
Se non lo vuoi così devi usare Telegram dove uno può cancellare tutta la chat (bella �� sinceramente)

In realtà stavamo parlando dei backup con crittografia e2e, altrimenti la crittografia e2e limitata a solo l'invio a cosa serve se il backup è accessibile a google-apple (solo i media) e tutto a meta che può rigenerare la chiave?

P.S. certo che vale ovunque, ma in una chat 1:1 è più facile mantenere il controllo dei backup (spento o e2ee).

P.S.2 mi ero dimenticato di questo...

Is WhatsApp safe? Not according to its ex-security chief
Attaullah Baig, who ran WhatsApp’s security team between 2021 and 2025, says the app isn’t nearly as private as Meta claims. In his lawsuit, he alleges that roughly 1,500 employees have access to sensitive user information, including location, profile photos, group memberships, and contact lists.
He also alleges the company ignored more than 100,000 daily account takeovers and rejected his proposed fixes. According to the lawsuit, when Baig raised these concerns with senior leadership, including Mark Zuckerberg, Meta fired him.

[destroyer85]

Quote:

Originariamente inviato da pachainti

In realtà stavamo parlando dei backup con crittografia e2e, altrimenti la crittografia e2e limitata a solo l'invio a cosa serve se il backup è accessibile a google-apple (solo i media) e tutto a meta che può rigenerare la chiave?

P.S. certo che vale ovunque, ma in una chat 1:1 è più facile mantenere il controllo dei backup (spento o e2ee).

P.S.2 mi ero dimenticato di questo...

Is WhatsApp safe? Not according to its ex-security chief
Attaullah Baig, who ran WhatsApp’s security team between 2021 and 2025, says the app isn’t nearly as private as Meta claims. In his lawsuit, he alleges that roughly 1,500 employees have access to sensitive user information, including location, profile photos, group memberships, and contact lists.
He also alleges the company ignored more than 100,000 daily account takeovers and rejected his proposed fixes. According to the lawsuit, when Baig raised these concerns with senior leadership, including Mark Zuckerberg, Meta fired him.

Meta può rigenerare la chiave ma non ha il file di backup.
Per il resto non vedo nulla di nuovo in quelle rivelazioni, è risaputo che Meta può accedere ai metadati. Non penso che debba venirvi a spiegare che tutto quello che è fuori dalla crittografia E2E sia al 100% accessibile dagli admin e sviluppatori della piattaforma in qualche modo.
Questo vale anche per i vari servizi di password ma di quello sembra non fregare a nessuno... Probabilmente è più importante il contenuto delle conversazioni che l'accesso a tutte le password.