Disastro WhatsApp: esposti 3,5 miliardi di account per una banale vulnerabilità

Una debolezza nel sistema di scoperta dei contatti ha trasformato WhatsApp in un enorme database consultabile da chiunque avesse le competenze per farlo. Ricercatori dell'Università di Vienna e di SBA Research hanno dimostrato che era possibile interrogare più di 100 milioni di numeri di telefono ogni ora attraverso l'infrastruttura della piattaforma, confermando l'esistenza di oltre 3,5 miliardi di account attivi distribuiti in 245 paesi del mondo. Gabriel Gegenhuber, autore principale dello studio, ha spiegato che normalmente un sistema non dovrebbe rispondere a un numero così elevato di richieste in così poco tempo, soprattutto quando proviene da una singola fonte.

La ricerca, condotta tra dicembre 2024 e aprile 2025, ha sfruttato l'assenza di limiti efficaci sul numero di interrogazioni che potevano essere effettuate ai server di WhatsApp. Utilizzando solo cinque account autenticati e un singolo server universitario, il team è riuscito a costruire un dataset contenente numeri di telefono, chiavi pubbliche, timestamp e, quando impostati come pubblici, foto profilo e testi informativi degli utenti. I dati accessibili, pur essendo tecnicamente pubblici per chiunque conosca il numero di un utente, hanno permesso ai ricercatori di estrarre informazioni aggiuntive come il sistema operativo utilizzato, l'età dell'account e il numero di dispositivi collegati. Lo studio, che sarà presentato al Simposio sulla Sicurezza di Rete e Sistemi Distribuiti (NDSS) nel 2026, rappresenta secondo l'Università di Vienna una delle più grandi esposizioni di dati personali mai documentate.

L'analisi ha rivelato aspetti particolarmente preoccupanti per gli utenti che vivono in regimi autoritari. I ricercatori hanno identificato milioni di account attivi in nazioni dove WhatsApp era ufficialmente vietato: 2,3 milioni in Cina, 60 milioni in Iran, 1,6 milioni in Myanmar e cinque account in Corea del Nord. Per i residenti di questi paesi, l'uso della piattaforma comporta rischi concreti di sorveglianza statale o persecuzione, rischi amplificati dalla possibilità di interrogare rapidamente interi intervalli numerici nazionali. Aljosha Judmayer, coautore dello studio, ha sottolineato che sebbene la crittografia end-to-end protegga il contenuto dei messaggi, i rischi per la privacy possono emergere quando i metadati vengono raccolti e analizzati su larga scala.

Le informazioni raccolte hanno fornito uno spaccato dettagliato delle abitudini degli utenti a livello globale. Il 56,7% degli account presentava foto profilo pubbliche, con punte dell'80% in alcuni paesi dell'Africa occidentale, mentre il 29,3% aveva messaggi di stato visibili che in alcuni casi rivelavano opinioni politiche, affiliazioni religiose e orientamento sessuale. Circa il 9% degli account era etichettato come aziendale, spesso senza che gli utenti comprendessero le implicazioni in termini di esposizione dei dati. Particolarmente allarmante è stata la scoperta di 2,9 milioni di casi di riutilizzo di chiavi crittografiche, comprese chiavi identità e prechiavi, che minano l'integrità della crittografia end-to-end. In 20 casi è stata utilizzata una chiave composta interamente da zeri, suggerendo implementazioni difettose o forse client di terze parti compromessi.

Meta ha implementato limiti più severi sul numero di interrogazioni solo nell'ottobre 2025, dopo essere stata informata tramite il programma Bug Bounty lo scorso aprile. Nitin Gupta, vicepresidente dell'ingegneria di WhatsApp citato dall'Università di Vienna nella nota stampa, ha dichiarato che l'azienda aveva già lavorato su sistemi anti-scraping e che lo studio è stato determinante per testare l'efficacia delle nuove difese. L'azienda ha inoltre precisato che non sono state trovate prove di attori malevoli che abbiano sfruttato la vulnerabilità e che i contenuti dei messaggi sono rimasti protetti dalla crittografia end-to-end. Tuttavia, i ricercatori sostengono che la capacità di generare un database globale degli utenti, incluse le chiavi crittografiche, comporta rischi sostanziali per la sicurezza, specialmente considerando che segnalazioni simili erano già state inviate a Meta a partire dal settembre 2024 senza ottenere risposte concrete fino alla minaccia di pubblicazione dello studio.

L'indagine rappresenta il terzo lavoro condotto dal team dell'Università di Vienna sulla sicurezza delle piattaforme di messaggistica istantanea. Precedentemente, i ricercatori avevano pubblicato "Careless Whisper", premiato al RAID 2025, che dimostrava come ping silenziosi potessero essere utilizzati per dedurre i modelli di attività degli utenti, e "Prekey Pogo", presentato al WOOT USENIX 2025, che analizzava le debolezze nel meccanismo di distribuzione delle chiavi di WhatsApp. Maximilian Günther, coautore della ricerca, ha evidenziato che il lavoro del gruppo contribuisce a una comprensione approfondita di come i sistemi di messaggistica evolvono e dove emergono nuovi rischi. La ricerca è stata condotta secondo rigorose linee guida etiche e tutti i dati recuperati sono stati cancellati prima della pubblicazione, senza che venisse mai acceduto ai contenuti effettivi delle conversazioni.