WhatsApp, un bug espone 3,5 miliardi di numeri telefonici. Il problema era noto dal 2017



[ZEUS News - www.zeusnews.it - 19-11-2025]

whatsapp bug 3 5 miliardi numeri
Foto di Rachit Tank.

Un gruppo di ricercatori dell'Università di Vienna e di SBA Research ha pubblicato i risultati di uno studio condotto tra dicembre 2024 e aprile 2025, col quale hanno dimostrato come sia stato possibile enumerare oltre 3,5 miliardi di account WhatsApp attivi in tutto il mondo. La tecnica utilizzata sfrutta un meccanismo presente in WhatsApp stesso: la funzionalità di contact discovery dell'applicazione permette di verificare rapidamente se un numero di telefono sia associato a un account WhatsApp e, in molti casi, di ottenere metadati pubblici come foto profilo, nome visualizzato e testo dello stato.

Uno script invia richieste sequenziali al server WhatsApp per controllare l'esistenza di account associati a numeri generati sistematicamente, partendo dai prefissi nazionali validi. Grazie all'assenza di limiti significativi sul numero di query i ricercatori sono riusciti a interrogare oltre 100 milioni di numeri all'ora utilizzando la versione web dell'app. In questo modo hanno confermato l'esistenza di 3,5 miliardi di account in 245 paesi, inclusi territori dove WhatsApp è ufficialmente bloccato come Cina, Iran e Corea del Nord.

Per il 57% di questi account è stata recuperata la foto profilo, mentre per il 29% anche il testo dello status. I ricercatori hanno inoltre estratto le chiavi pubbliche di crittografia per tutti i profili, utili per analisi ulteriori ma non per decifrare i messaggi, che rimangono protetti dalla crittografia end-to-end.

A rendere ancora più interessante la questione c'è il fatto che la vulnerabilità - se così si può chiamare - era stata segnalata per la prima volta già nel 2017 dal ricercatore olandese Loran Kloeze, che aveva dimostrato la stessa tecnica su scala ridotta. Meta aveva allora considerato il problema non critico, sostenendo che i dati esposti fossero già pubblici per design e che esistessero difese contro lo scraping automatico. Nel corso degli anni l'azienda ha implementato alcune misure di mitigazione, tra cui filtri basati su machine learning per identificare pattern sospetti, ma queste si sono rivelate insufficienti contro uno script ben configurato. La rivelazione del problema a Meta da parte dei ricercatori austriaci è avvenuta in maniera riservata alla sola azienda lo scorso aprile, per darle il tempo di implementare misure di mitigazione prima della rivelazione pubblica; solo dopo sono state introdotte restrizioni più severe sulle richieste, applicate a partire da ottobre.

Spunti di approfondimento:
WhatsApp entra nel mirino dell'UE: nuove regole per i Canali e la moderazion...
WhatsApp apre le porte a Telegram, Signal e altri servizi: inizia l'era dell...
WhatsApp arriva su Apple Watch: si possono leggere i messaggi, rispondere e invi...
WhatsApp, arrivano i nomi utente: presto sarà possibile prenotare quello pr...

Il database raccolto durante la ricerca è stato eliminato una volta completato lo studio e verificata l'applicazione delle correzioni. Il rapporto è intitolato Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy. Esso evidenzia come i numeri di telefono, per loro natura prevedibili e con scarsa entropia, non siano identificatori adeguati per servizi su scala globale senza protezioni robuste contro questo tipo di attacchi. Se ottenuto da criminali, un dataset di questa portata avrebbe potuto facilitare campagne massive di smishing, vishing, social engineering o sorveglianza mirata, specialmente in combinazione con altre fonti di dati pubblici.

Meta ha cercato di difendersi affermando che dopotutto i contenuti delle chat non sono mai stati a rischio e che i metadati esposti erano già accessibili a chiunque fosse in possesso del numero di telefono, per esempio sincronizzando la rubrica. L'azienda ha comunque riconosciuto l'utilità della ricerca e rafforzato i controlli. Per gli utenti, le impostazioni di privacy esistenti permettono di limitare la visibilità di foto profilo e status ai soli contatti, riducendo l'esposizione in caso di future vulnerabilità simili.

La sincronizzazione immediata dei contatti è una funzionalità apprezzata e il caso solleva interrogativi sulla priorità data alla user experience rispetto a misure di sicurezza più stringenti, come l'introduzione di nomi utente al posto dei numeri di telefono. Questa funzione è effettivamente in fase di lenta distribuzione graduale.

Articoli raccomandati:
WhatsApp introduce la traduzione automatica dei messaggi. Su iOS e Android
WhatsApp, sfondi generati dalla IA nelle videochiamate, tra personalizzazione e ...
WhatsApp, più sicurezza grazie ai nuovi strumenti IA contro le truffe onlin...
WhatsApp senza account: arrivano le Guest Chat per comunicare da "anonimi"

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Bitchat sfida WhatsApp: messaggi istantanei sicuri e crittografati, senza passare da Internet
La IA di WhatsApp riassume i messaggi non letti. Ma si legge tutte le chat

Commenti all'articolo (1)


Homer S.
Meta ha ostentato un blando e superficiale disagio nel 2017 e lo ha rifatto ora: dove starebbe la notizia? Sarebbe diverso se i ricercatori odierni avessero dimostrato che una falla individuata otto anni fa e data per corretta in realtà era ancora presente, ma Meta non ha mai ammesso che il "problema" fosse davvero tale: è... Leggi tutto
19-11-2025 14:12
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Qual è la cosa più importante per te in un sito Internet?
Estetica
Interattività
Contenuti
Usabilità
Gratuità

Mostra i risultati (3019 voti)
Novembre 2025
n. 4026 del 19-11-2025
Cloudflare in tilt. Migliaia di siti irraggiungibili, servizi bloccati in tutto il mondo
n. 4025 del 18-11-2025
E se Internet sparisse?
n. 4024 del 17-11-2025
Windows diventerà un Agentic OS. Microsoft entusiasta, gli utenti temono guai
n. 4023 del 13-11-2025
Database con dati personali di 3,8 milioni di italiani pubblicato nel dark web
n. 4022 del 12-11-2025
I crescenti segni dell'esplosione
n. 4021 del 10-11-2025
WhatsApp apre le porte a Telegram, Signal e altri servizi: inizia l'era delle chat cross-app
n. 4020 del 07-11-2025
Con Gemini Google Maps ti parla davvero: indicazioni vocali, punti di riferimento e AI
n. 4019 del 06-11-2025
La RAM costa più dell'oro: l'intelligenza artificiale fa impennare i prezzi della DRAM
n. 4018 del 05-11-2025
App di autenticazione e chiavi hardware, anche di scorta
n. 4017 del 04-11-2025
Resuscitare l'aspirapolvere smart ucciso da remoto dal produttore
n. 4016 del 03-11-2025
AGCOM, ecco la lista dei siti porno che richiederanno la verifica dell'età: si parte il 12 novembre
Ottobre 2025
n. 4015 del 31-10-2025
Microsoft Azure in crisi: il disservizio ha fermato le Poste, Starbucks e il Parlamento scozzese
n. 4014 del 30-10-2025
Anche Aranzulla teme la IA: il calo del traffico è reale e coinvolge tutta l'editoria digitale
n. 4013 del 29-10-2025
Oltre 2.000 pacchi Amazon scomparsi scovati dai Carabinieri in un magazzino nel milanese
n. 4012 del 27-10-2025
La pasta termica che corrode il metallo e "fonde" insieme dissipatore e CPU
Tutti gli Arretrati
Vecchi articoli
Accadde oggi - 19 novembre
2025
Jeff Bezos lancia Project Prometheus, startup IA da 6,2 miliardi. Focus su indus...
2024
RAI, al via le trasmissioni sperimentali in 5G
2023
Windows, presto si potrà disinstallare Edge e Bing
2021
Windows 10, gli aggiornamenti diventano annuali
2020
L'iPhone pieghevole arriverà nel 2022
2017
Firefox Quantum è più leggero e affidabile e sfida Google Chrome
2016
Come scavalcare il PIN di blocco di un iPhone usando Siri
2015
MMM Global, il nuovo schema Ponzi di Sergei Mavrodi
2014
La bufala di Whatsapp e i messaggi a pagamento
2013
3F, l'aspirapolvere mutaforma
2012
Quella benzina a 1 euro al litro
2011
Gli USA e il sistema metrico decimale
2010
In prova: Western Digital Elements Play (2)
2009
Microsoft ammette: "Abbiamo copiato codice Gpl"
2008
Il meglio dal Forum Videogiochi
2007
La ragazza investita dall'autobus filmata su YouTube e l'ipocrisia
2004
Sony revoca i Cd anticopia
2003
Hacker story
2002
Sabelli e Colaninno: attenti a quei due
2001
Monica o Megan?
Olimpo Informatico


 
web metrics