Un difetto nel sistema con cui WhatsApp individua i contatti presenti in rubrica ha permesso a un gruppo di accademici di ricostruire un database globale di oltre 3,5 miliardi di account attivi. Non parliamo del contenuto dei messaggi, che è rimasto protetto, ma di un'enorme quantità di metadati personali (numeri di telefono, immagini del profilo, testi informativi e persino elementi legati alla crittografia) accessibili senza superare soglie di sicurezza o incorrere in blocchi automatici. La vulnerabilità è stata individuata da un gruppo di ricercatori dell’Università di Vienna – Gabriel Gegenhuber, Philipp É. Frenzel, Maximilian Günther, Johanna Ullrich e Aljosha Judmayer – e sarà descritta in dettaglio in uno studio accettato alla conferenza NDSS 2026, uno dei principali appuntamenti scientifici dedicati alla sicurezza dei sistemi informatici. Tra dicembre 2024 e aprile 2025, il team ha analizzato il funzionamento interno del meccanismo di “contact discovery”, cioè la funzione che consente a WhatsApp di dirci quali numeri della nostra rubrica sono già iscritti al servizio. Questo processo avviene tramite interfacce di programmazione, le cosiddette API, che permettono a un software di interrogare automaticamente un altro sistema.
Come hanno fatto i ricercatori a estrapolare i dati di oltre 3 miliardi di account WhatsApp
Attraverso un'operazione di reverse engineering, ossia la ricostruzione del funzionamento di un sistema a partire dal suo comportamento esterno, i ricercatori hanno scoperto che una specifica API poteva essere interrogata senza limiti di frequenza. In termini spiccioli, non era presente un sistema adeguato che ponesse un limite al numero di richieste consentite in un certo intervallo di tempo per prevenire abusi. Utilizzando un singolo server universitario e soltanto cinque account WhatsApp legittimi, il gruppo è riuscito a verificare più di 100 milioni di numeri di telefono l'ora! E tutto questo senza mai essere bloccato dalla piattaforma di Meta.
Per rendere l’attacco realistico su scala globale, i ricercatori hanno sviluppato un sistema capace di generare combinazioni plausibili di numeri di telefonia mobile di 245 Paesi, per un totale di 63 miliardi di potenziali contatti. Questi numeri sono stati poi verificati tramite il protocollo XMPP, uno standard aperto per la messaggistica in tempo reale, usando un client open source modificato chiamato whatsmeow. Alla massima velocità, il sistema confermava circa 7.000 numeri al secondo come effettivamente registrati su WhatsApp.
Il risultato è stato un dataset di oltre 3,5 miliardi di account, in linea con il numero totale di utenti attivi dichiarati dalla piattaforma. Per ciascun account, era possibile osservare diversi elementi. Più della metà degli utenti a livello globale aveva una foto del profilo pubblica, con percentuali ancora più alte in alcune aree dell'Africa occidentale. Circa un terzo mostrava un testo informativo visibile, spesso usato come stato, che in alcuni casi conteneva riferimenti a opinioni politiche, credenze religiose, orientamento sessuale o link ad altri social network. Quasi il 9% risultava etichettato come account aziendale, spesso perché gli utenti avevano scelto WhatsApp Business senza essere pienamente consapevoli di come questa scelta aumenti la visibilità di alcuni dati.
Un aspetto più tecnico riguarda le chiavi crittografiche. La crittografia end-to-end, che protegge i messaggi, si basa su coppie di chiavi crittografiche: una pubblica, che è condivisa, e una privata, che è segreta. I ricercatori hanno individuato circa 2,9 milioni di casi di riutilizzo anomalo di chiavi pubbliche, comprese chiavi di identità e prechiavi, che dovrebbero invece essere uniche. In casi estremi, come quello di 20 numeri statunitensi associati a una chiave composta interamente da zeri, il dato suggerisce l’uso di client non ufficiali o implementazioni difettose, con potenziali ricadute sull'integrità del sistema crittografico.
Lo studio evidenzia anche un problema geopolitico: gli account associati a Paesi in cui WhatsApp è ufficialmente vietato, come Cina, Iran, Myanmar e Corea del Nord, risultavano facilmente individuabili. In contesti di sorveglianza governativa, la semplice identificabilità di questi utenti può aumentare i rischi personali, anche senza accesso ai contenuti delle conversazioni (già la semplice iscrizione a WhatsApp costituisce reato) .
Meta è stata informata della falla
Meta è stata informata tramite il programma di bug bounty nell'aprile 2025 e ha introdotto limiti più stringenti a partire da ottobre dello stesso anno, correggendo silenziosamente la falla. Riguardo all'accaduto, a dir poco gravissimo (che fortunatamente ha avuto un lieto fine visto che il problema è stato individuato da un gruppo di ricercatori e non da criminali informatici), Nitin Gupta, vicepresidente dell'ingegneria di WhatsApp, ha rilasciato questa dichiarazione:
Siamo grati ai ricercatori dell'Università di Vienna per la loro collaborazione responsabile e la diligenza dimostrata nell'ambito del nostro programma bug bounty. Questa collaborazione ha permesso di identificare con successo una nuova tecnica di enumerazione che ha superato i limiti previsti, consentendo ai ricercatori di raccogliere informazioni di base disponibili pubblicamente. Stavamo già lavorando su sistemi anti-scraping all'avanguardia nel settore e questo studio è stato fondamentale per testare e confermare l'efficacia immediata di queste nuove difese. È importante sottolineare che i ricercatori hanno cancellato in modo sicuro i dati raccolti nell'ambito dello studio e non abbiamo trovato alcuna prova di malintenzionati che abbiano abusato di questo vettore. Ricordiamo che i messaggi degli utenti sono rimasti privati e sicuri grazie alla crittografia end-to-end predefinita di WhatsApp e che i ricercatori non hanno avuto accesso ad alcun dato non pubblico.
Rimane il fatto che l'accaduto ha rappresentato un fatto gravissimo, che gli stessi ricercatori hanno definito come «la più vasta esposizione di numeri di telefono e di dati utente associati mai documentata» e che, a loro dire, rappresenterebbe a conti fatti «la più grande fuga di dati della storia, se non fosse stata realizzata nell’ambito di una ricerca svolta responsabilmente».
;Resize,width=578;)
;Resize,width=767;)
;Resize,width=727;)
;Resize,width=727;)
;Resize,width=727;)
;Resize,width=727;)
