WhatsApp, il “data leak” che non sapevamo di aver subito: così hanno raccolto 3,5 miliardi di numeri di telefono

Per anni molti utenti hanno dato per scontato che collegare un account a un numero di telefono fosse una buona idea. Il numero è comodo da ricordare e semplifica l’aggiunta dei contatti.

Una ricerca dell’Università di Vienna mostra però il rovescio della medaglia per WhatsApp. La funzione di scoperta contatti ha permesso di estrarre 3,5 miliardi di numeri di telefono, con annessi profili pubblici, in modo quasi banale.

Vuoi ascoltare il riassunto dell’articolo?

Ascolta su Spreaker.

I ricercatori descrivono questa raccolta come la più estesa esposizione di numeri di telefono mai documentata. Se non avessero condotto lo studio in contesto accademico, avrebbero parlato con ogni probabilità di un data leak di portata storica.

Meta ha chiuso la falla solo dopo la segnalazione ufficiale, riducendo inizialmente il problema a semplici informazioni di base pubblicamente disponibili. L’azienda ha riconosciuto la criticità solo in seguito, introducendo modifiche alla gestione delle richieste sulla piattaforma web di WhatsApp.

La vulnerabilità non deriva da un exploit sofisticato, ma da una funzione che molti utenti usano ogni giorno: la verifica dei contatti. Quando un utente inserisce un numero in rubrica, WhatsApp indica se quella persona usa il servizio e mostra, in base alle impostazioni, la foto del profilo e il testo dell’info.

I ricercatori hanno portato questo meccanismo all’estremo. Attraverso la versione web del servizio, hanno inviato verso WhatsApp decine di miliardi di numeri possibili, verificando in modo sistematico quali risultassero associati a un account.

In questo modo hanno enumerato 3,5 miliardi di numeri registrati. Per circa il 57% di essi hanno scaricato la foto del profilo, mentre per un ulteriore 29% hanno potuto leggere il testo pubblico dell’about.

Il punto critico riguarda l’assenza di un limite di velocità efficace. Il sistema non ha bloccato richieste inviate a un ritmo di circa 100 milioni di numeri all’ora, consentendo una raccolta massiva in tempi contenuti.

I ricercatori spiegano di non aver incontrato nessuna difesa concreta, nonostante Meta dichiari da anni di usare sistemi di rate limiting e strumenti di machine learning contro gli scraper. Il divario tra dichiarazioni ufficiali e comportamento effettivo del servizio emerge chiaramente dai risultati della scansione.

Non si tratta di un allarme improvviso. Nel 2017 il ricercatore olandese Loran Kloeze aveva già documentato una tecnica simile di enumerazione dei numeri, combinando profili pubblici, foto e orari di connessione.

All’epoca Facebook, oggi Meta, aveva difeso il funzionamento delle impostazioni di privacy. L’azienda non aveva considerato quella segnalazione come idonea a una ricompensa nel programma di bug bounty e non aveva introdotto correttivi strutturali.

Meta insiste su un argomento centrale: le informazioni accessibili sarebbero dati di base pubblicamente disponibili. Secondo l’azienda, chi imposta profilo e info come pubblici accetta che questi elementi risultino visibili a chiunque utilizzi la funzione di scoperta contatti.

I ricercatori distinguono però tra visibilità caso per caso e possibilità di costruire un database globale consultabile a piacimento. La seconda opzione permette di correlare, filtrare e riutilizzare i dati su scala che l’utente medio non immagina quando configura le proprie impostazioni di privacy.

Dai dati raccolti emerge che molti utenti non modificano nemmeno le impostazioni predefinite. Negli Stati Uniti, su 137 milioni di numeri analizzati, il 44% mostrava una foto profilo pubblica e il 33% aveva il testo info visibile a tutti.

In India, dove WhatsApp è ancora più diffuso, la quota di account con foto profilo visibile saliva al 62%. Anche le altre informazioni dei profili presentavano percentuali elevate di esposizione pubblica.

La situazione è simile in altri paesi con un forte utilizzo della piattaforma. In Brasile, su 206 milioni di numeri individuati, il 61% esponeva una foto del profilo a chiunque potesse effettuare una verifica dei contatti.

Questi numeri non descrivono solo una scarsa attenzione alle impostazioni predefinite.

Creano un contesto favorevole per chi vuole profilare utenti, organizzare campagne di spam o sfruttare i dati raccolti per truffe mirate e tentativi di phishing calibrati sull’identità della vittima.

Nel loro lavoro i ricercatori evidenziano un ulteriore aspetto delicato: la presenza di milioni di numeri registrati a WhatsApp in paesi dove il servizio risulta ufficialmente vietato.

Gli studiosi hanno individuato, per esempio, 2,3 milioni di numeri in Cina e 1,6 milioni in Myanmar. Secondo gli autori, i governi interessati avrebbero potuto utilizzare la stessa tecnica di raccolta per identificare chi usa l’app nonostante i divieti.

In contesti in cui l’uso di specifici strumenti di comunicazione espone a forme di persecuzione, una mappatura sistematica dei numeri su WhatsApp diventa uno strumento potenzialmente pericoloso nelle mani delle autorità.

Oltre alla parte anagrafica, la ricerca analizza anche le chiavi crittografiche pubbliche associate agli account, quelle che WhatsApp utilizza per ricevere i messaggi cifrati.

L’analisi mette in luce numerosi casi di chiavi duplicate tra profili diversi, con alcune chiavi riutilizzate persino centinaia di volte. I ricercatori hanno individuato anche una ventina di numeri statunitensi con una chiave composta interamente da zeri.

Queste anomalie indicano con buona probabilità l’uso di client non ufficiali con implementazioni scorrette della crittografia. Strumenti di questo tipo compaiono spesso in contesti di attività sospette, servizi di monitoraggio non autorizzato e schemi di truffa.

Secondo gli autori, la presenza diffusa di chiavi non uniche mina la solidità del modello di sicurezza su cui l’utente basa la fiducia nel sistema. Anche se i messaggi rimangono cifrati end-to-end, l’ecosistema di applicazioni che interagiscono con il servizio introduce variabili che l’utente non controlla.

La radice del problema, secondo i ricercatori, sta nell’uso del numero di telefono come identificatore centrale in un servizio che interessa oltre un terzo della popolazione mondiale.

Un numero di cellulare non offre una variabilità sufficiente per resistere a tentativi sistematici di enumerazione, specialmente quando il servizio privilegia la comodità della scoperta contatti rispetto alla robustezza delle protezioni contro la raccolta massiva.

Meta, dopo la segnalazione arrivata ad aprile, ha implementato a ottobre nuove misure di rate limiting sulla versione web di WhatsApp. Queste modifiche impediscono di ripetere lo stesso tipo di scansione su larga scala che lo studio ha documentato.

L’azienda afferma di non aver rilevato abusi della tecnica da parte di attori malevoli e ricorda che i contenuti dei messaggi sono rimasti protetti dalla cifratura end-to-end. Il team di ricerca non ha avuto accesso a dati non pubblici né ai contenuti delle conversazioni.

Gli autori dello studio osservano però che la stessa semplicità con cui hanno scaricato il dataset da 3,5 miliardi di numeri rende difficile escludere tentativi precedenti da parte di terzi.

L’assenza di limiti efficaci fino all’intervento di Meta lascia aperto questo interrogativo.

Nel frattempo WhatsApp testa un sistema di username (ormai da anni), che potrebbe ridurre il peso del numero di telefono come fulcro dell’identità digitale. Il caso mette comunque in evidenza quanto sia fragile il compromesso tra praticità d’uso e tutela della privacy quando l’intero sistema ruota attorno a undici cifre.