Una falla definita “semplice”, ma dalle conseguenze potenzialmente gigantesche: un gruppo di ricercatori della Università di Vienna è riuscito a estrarre 3,5 miliardi di numeri di telefono dagli utenti WhatsApp, sfruttando il modo in cui l’app gestisce la ricerca dei contatti.
Parliamo, di fatto, del numero di quasi ogni utente WhatsApp sul pianeta. E la parte più imbarazzante è un’altra: un ricercatore aveva segnalato a Meta lo stesso problema già nel 2017. Da allora, niente rate limiting serio, nessuna protezione concreta.
Solo nel 2025, dopo il nuovo studio, l’azienda ha messo finalmente una pezza.
Come funzionava la falla: la rubrica “universale” di WhatsApp
Il meccanismo sfruttato dai ricercatori è lo stesso che usiamo tutti ogni giorno, ma su scala più ampia.
WhatsApp funziona così: inserisci un numero in rubrica, l’app controlla se quell’utente è su WhatsApp e, se sì, ti mostra nome, foto profilo e spesso anche la frase “Info”.
I ricercatori hanno semplicemente… automatizzato il processo:
- hanno generato miliardi di numeri possibili
- li hanno “provati” in massa tramite la funzione di discovery (via WhatsApp Web / interfacce collegate)
- hanno registrato tutti i numeri che risultavano iscritti a WhatsApp, insieme ai dati visibili pubblicamente
Risultato?
- 3,5 miliardi di numeri di telefono raccolti
- per circa il 57% degli account, anche la foto profilo
- per circa il 29%, anche il testo “Info” (lo stato)
In pratica, hanno creato una gigantesca “rubrica mondiale” di WhatsApp, con numero, faccia e spesso qualche informazione aggiuntiva collegata alla persona.
Come accennato prima, nel 2017 un altro ricercatore aveva già segnalato a WhatsApp/Meta che non esisteva alcun limite reale al numero di controlli contatti effettuabili, aprendo la strada a un attacco di enumerazione massiva.
Meta, all’epoca, non ha applicato misure di rate limiting sufficienti a impedire questo tipo di scraping.
Nel 2025, il team austriaco ha dimostrato che la falla era ancora sfruttabile: in mezz’ora ha raccolto 30 milioni di numeri USA, poi ha proseguito fino a 3,5 miliardi di numeri in totale.
Gli stessi ricercatori definiscono l’esposizione “il più grande leak di numeri di telefono e dati associati mai documentato”, precisando che, se fosse stato fatto da attori malevoli, sarebbe stato “il più grande data leak della storia”.
Dopo aver completato il test, hanno cancellato il database e avvisato Meta. L’azienda ha impiegato circa sei mesi per implementare finalmente un rate limiting efficace che blocca questo tipo di enumerazione massiva.
La risposta di Meta
Meta sostiene che era già al lavoro su protezioni aggiuntive e che non ha rilevato evidenze che la falla sia stata sfruttata da attori malevoli. Inoltre, i dati “esposti” erano comunque informazioni che l’utente aveva scelto di rendere visibili (numero, foto, info), mentre i contenuti delle chat restano protetti da crittografia end-to-end
Tutto vero a livello tecnico: le chat non sono state decifrate, non è stato bucato il protocollo di cifratura.
Di fatto, però, il numero di telefono è un identificatore estremamente sensibile. Inoltre, foto profilo e stato, se combinati con altre fughe dati, possono bastare per identificare una persona, localizzarla, fare social engineering.
Perché è un problema serio anche se “sono solo numeri”
Alcuni utenti potrebbero pensare “In fondo il mio numero lo do a mezzo mondo, perché dovrei preoccuparmi?”.
Il punto è che un database da miliardi di numeri, già ripulito da quelli non WhatsApp e arricchito da foto e info, è oro puro per chi fa:
- spam e truffe via SMS, WhatsApp e telefonate
- phishing mirato (ti chiamano sapendo come ti chiami o che foto hai)
- tentativi di SIM swap, per rubarti account collegati al numero
- profiling e tracciamento incrociato con altri leak (social, e-commerce, servizi vari)
Per proteggere al massimo il tuo account Whatsapp:
- Aggiorna WhatsApp all’ultima versione
- Dalle impostazioni privacy di Whatsapp, scegli chi può vedere la tua foto e la tua “Info”
- Attiva la verifica in due passaggi
- Stai sempre attendo a SMS e messaggi sospetti
Se dopo questo mega scraping dovessi ricevere messaggi molto “su misura” su WhatsApp o SMS (finti corrieri, banche, codici di verifica che non hai richiesto…), diffida. Meglio aprire le app ufficiali e non cliccare sui link.
News