Falla WhatsApp, esposti 3,5 miliardi di numeri di telefono: la scoperta dei ricercatori ha costretto Meta a intervenire
Non hanno violato server né aggirato sistemi avanzati di sicurezza, ma è bastato usare una funzione già presente su WhatsApp per scoprire, uno dopo l’altro, 3,5 miliardi di account attivi in 245 Paesi. È questo il risultato di uno studio condotto da un gruppo dell’Università di Vienna e di SBA Research tra dicembre 2024 e aprile 2025, con l’obiettivo di verificare se fosse ancora possibile enumerare gli account WhatsApp partendo da semplici numeri di telefono, rivelando quanto sia stato possibile e su scala globale.
Secondo la ricerca, in Italia sono stati identificati ben 55.606.677 account attivi, una cifra enorme che colloca il nostro Paese tra quelli con il maggior numero di utenti WhatsApp a livello europeo. A livello mondiale troviamo al primo posto l’India, con oltre 749 milioni di account.
Il metodo utilizzato e i dati ottenuti dagli account
La tecnica sfrutta il meccanismo di contact discovery, ossia quando un utente permette all’app di accedere alla rubrica per controllare quali numeri siano registrati. Questo controllo (del tutto legittimo) può però essere automatizzato, attraverso uno uno script sviluppato dai ricercatori, riuscendo ad inviare oltre 100 milioni di query all’ora tramite la versione web del servizio. Per renderci conto della portata della ricerca, tra gli oltre 3,5 miliardi di account mappati troviamo utenti localizzati in Cina, Myanmar e Corea del Nord dove WhatsApp è vietato.
Ti potrebbe interessare
Per ogni numero associato a un account, gli studiosi sono riusciti a recuperare la foto profilo (nel 57% dei casi), lo Status (29%), alcune informazioni sugli eventuali dispositivi collegati. Lo studio parla anche del recupero di alcune chiavi pubbliche di crittografia, per fortuna non utili a decifrare i messaggi, che restano protetti. Tuttavia, dal dataset emergono anche abitudini d’uso e altri dettagli che dimostrano quanto sia stato possibile profilare gli utenti anche senza toccare i contenuti delle chat.
Un problema noto dal 2017, corretto nel 2025
Non si tratta di una vera e propria novità, ma piuttosto di una conferma. Già nel 2017 il ricercatore Loran Kloeze aveva dimostrato la possibilità di enumerare gli account su scala ridotta. Lo studio dei ricercatori austriaci dimostra come non abbiano subito blocchi, rate limit o richieste di chiarimento tramite l’indirizzo abuse indicato nei log delle connessioni.
Lo studio, di fatto, è risultato utile per intervenire sul problema. Infatti, Meta ha preso sul serio la questione una volta che i ricercatori sono riusciti a portare all’attenzione i problemi identificati già nel 2024. Dopo un lungo scambio di comunicazioni con gli autori, l’azienda è intervenuta introducendo limiti e restrizioni per tutelare la privacy degli utenti. Una collaborazione fruttuosa, confermata dagli stessi autori dello studio attraverso ulteriori test che hanno verificato come le contromisure siano state correttamente implementate e rese effettive all’inizio di ottobre 2025.
