Come riportato da Wired, una falla di sicurezza estremamente grave ha permesso di estrarre 3,5 miliardi di numeri di telefono degli utenti WhatsApp in tutto il mondo. La vulnerabilità, scoperta e segnalata per la prima volta nel 2017, non era mai stata corretta da Meta fino a quest’anno, consentendo a un gruppo di ricercatori di dimostrare quanto fosse semplice sfruttarla su larga scala.
Il risultato è stato quello che gli studiosi definiscono “la più grande esposizione di numeri di telefono mai documentata”. E sì: tra i numeri esposti, con altissima probabilità, c’è anche quello degli stessi utenti che utilizzano WhatsApp quotidianamente.
Leggi anche WhatsApp aggiunge supporto multi-chat in UE: ecco come funziona.
WhatsApp: falla nota da 8 anni e mai risolta
Il problema deriva da uno dei meccanismi base di WhatsApp: quando si inserisce un numero di telefono nell’app, il servizio verifica immediatamente se quel numero è associato a un account. Questo comportamento, progettato per facilitare l’aggiunta dei contatti, non era mai stato limitato nel numero di tentativi possibili.
Ciò significa che era possibile provare tutti i numeri di telefono esistenti, uno dopo l’altro, ottenendo conferma dell’iscrizione e, in molti casi, anche la foto profilo e il nome dell’utente.
Un ricercatore aveva avvertito Meta del problema già nel 2017, ma per anni non è stata implementata alcuna misura di protezione. Solo nel 2025, dopo la dimostrazione su larga scala e un nuovo avviso da parte dei ricercatori dell’Università di Vienna, Meta ha finalmente inserito un limite di sicurezza.
Come è stato possibile estrarre 3,5 miliardi di numeri?
Gli studiosi dell’Università di Vienna hanno messo alla prova la vulnerabilità usando un semplice script automatizzato capace di provare sequenzialmente miliardi di numeri. Il sistema intercettava la risposta di WhatsApp e, quando un numero risultava valido, lo memorizzava insieme agli eventuali metadati pubblici.
I risultati sono stati sorprendenti:
• i primi 30 milioni di numeri statunitensi sono stati raccolti in appena 30 minuti;
• nelle ore successive, il sistema ha continuato a estrarre numeri in modo continuo;
• alla fine, sono stati raccolti 3,5 miliardi di numeri WhatsApp.
Secondo i ricercatori, se questa stessa tecnica fosse stata sfruttata da criminali informatici, avrebbe prodotto “il più grande data leak della storia”.
Leggi anche L’UE colpisce anche WhatsApp! Nuovi blocchi e restrizioni.
Che cosa è stato esposto su WhatsApp?
Il problema non ha esposto chat, contenuti multimediali o messaggi, ma dati considerati comunque estremamente sensibili:
• numero di telefono dell’utente
• conferma dell’appartenenza a WhatsApp
• eventuale foto del profilo
• eventuale nome visibile al pubblico
• eventuali descrizioni o testi associati all’account
Informazioni sufficienti per:
• attacchi di phishing mirati
• furto d’identità
• tracciamento dell’utente
• collegamento del numero a profili social o servizi esterni
Il tutto senza che l’utente potesse accorgersene.
Meta reagisce, ma con anni di ritardo
Dopo essere stata contattata dai ricercatori, Meta ha finalmente introdotto un rate limit, ossia un limite al numero di richieste possibili in un breve intervallo di tempo. La misura impedisce di ripetere l’attacco su larga scala.
Secondo l’azienda, era già in lavorazione una soluzione interna e non sarebbero emerse prove di utilizzo malevolo della falla negli anni precedenti. Tuttavia, la mancanza di un intervento per ben otto anni solleva interrogativi sulla gestione della sicurezza da parte dell’azienda.
WhatsApp: Quali sono i rischi per gli utenti?
Poiché il numero di telefono è fortemente legato all’identità digitale, la sua esposizione può causare diversi problemi:
• aumento di tentativi di truffe via SMS
• chiamate di spam più frequenti
• tentativi di reset di vari servizi collegati al numero
• maggiore facilità nel correlare account WhatsApp a profili social pubblici
Se un utente utilizza lo stesso numero per più servizi online, il rischio aumenta.
Cosa possono fare gli utenti?
Non c’è un modo diretto per sapere se il proprio numero sia stato incluso nella raccolta dei ricercatori, ma data l’entità – quasi tutti gli utenti globali – è realistico considerarsi coinvolti.
Consigli per ridurre i rischi:
• evitare di mostrare foto profilo e dettagli personali ai non contatti
• attivare la verifica in due passaggi
• monitorare SMS sospetti e chiamate indesiderate
• considerare un cambio numero in casi estremi
La falla che ha esposto 3,5 miliardi di numeri WhatsApp rappresenta un caso gravissimo di gestione errata della sicurezza, aggravato dal fatto che la vulnerabilità era nota da anni e facilmente risolvibile. Le nuove misure di Meta arrivano troppo tardi e mettono in evidenza la necessità di maggiore trasparenza e responsabilità nella progettazione dei servizi digitali.
Continuate a seguire AppleZein.net per rimanere aggiornati su tutte le novità legate alla sicurezza digitale e al mondo della tecnologia.
[fonte]