WhatsApp, un bug espone 3,5 miliardi di numeri telefonici. Il problema era noto dal 2017



[ZEUS News - www.zeusnews.it - 19-11-2025]

whatsapp bug 3 5 miliardi numeri
Foto di Rachit Tank.

Un gruppo di ricercatori dell'Università di Vienna e di SBA Research ha pubblicato i risultati di uno studio condotto tra dicembre 2024 e aprile 2025, col quale hanno dimostrato come sia stato possibile enumerare oltre 3,5 miliardi di account WhatsApp attivi in tutto il mondo. La tecnica utilizzata sfrutta un meccanismo presente in WhatsApp stesso: la funzionalità di contact discovery dell'applicazione permette di verificare rapidamente se un numero di telefono sia associato a un account WhatsApp e, in molti casi, di ottenere metadati pubblici come foto profilo, nome visualizzato e testo dello stato.

Uno script invia richieste sequenziali al server WhatsApp per controllare l'esistenza di account associati a numeri generati sistematicamente, partendo dai prefissi nazionali validi. Grazie all'assenza di limiti significativi sul numero di query i ricercatori sono riusciti a interrogare oltre 100 milioni di numeri all'ora utilizzando la versione web dell'app. In questo modo hanno confermato l'esistenza di 3,5 miliardi di account in 245 paesi, inclusi territori dove WhatsApp è ufficialmente bloccato come Cina, Iran e Corea del Nord.

Per il 57% di questi account è stata recuperata la foto profilo, mentre per il 29% anche il testo dello status. I ricercatori hanno inoltre estratto le chiavi pubbliche di crittografia per tutti i profili, utili per analisi ulteriori ma non per decifrare i messaggi, che rimangono protetti dalla crittografia end-to-end.

A rendere ancora più interessante la questione c'è il fatto che la vulnerabilità - se così si può chiamare - era stata segnalata per la prima volta già nel 2017 dal ricercatore olandese Loran Kloeze, che aveva dimostrato la stessa tecnica su scala ridotta. Meta aveva allora considerato il problema non critico, sostenendo che i dati esposti fossero già pubblici per design e che esistessero difese contro lo scraping automatico. Nel corso degli anni l'azienda ha implementato alcune misure di mitigazione, tra cui filtri basati su machine learning per identificare pattern sospetti, ma queste si sono rivelate insufficienti contro uno script ben configurato. La rivelazione del problema a Meta da parte dei ricercatori austriaci è avvenuta in maniera riservata alla sola azienda lo scorso aprile, per darle il tempo di implementare misure di mitigazione prima della rivelazione pubblica; solo dopo sono state introdotte restrizioni più severe sulle richieste, applicate a partire da ottobre.

Articoli raccomandati:
WhatsApp entra nel mirino dell'UE: nuove regole per i Canali e la moderazion...
WhatsApp apre le porte a Telegram, Signal e altri servizi: inizia l'era dell...
WhatsApp arriva su Apple Watch: si possono leggere i messaggi, rispondere e invi...
WhatsApp, arrivano i nomi utente: presto sarà possibile prenotare quello pr...

Il database raccolto durante la ricerca è stato eliminato una volta completato lo studio e verificata l'applicazione delle correzioni. Il rapporto è intitolato Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy. Esso evidenzia come i numeri di telefono, per loro natura prevedibili e con scarsa entropia, non siano identificatori adeguati per servizi su scala globale senza protezioni robuste contro questo tipo di attacchi. Se ottenuto da criminali, un dataset di questa portata avrebbe potuto facilitare campagne massive di smishing, vishing, social engineering o sorveglianza mirata, specialmente in combinazione con altre fonti di dati pubblici.

Meta ha cercato di difendersi affermando che dopotutto i contenuti delle chat non sono mai stati a rischio e che i metadati esposti erano già accessibili a chiunque fosse in possesso del numero di telefono, per esempio sincronizzando la rubrica. L'azienda ha comunque riconosciuto l'utilità della ricerca e rafforzato i controlli. Per gli utenti, le impostazioni di privacy esistenti permettono di limitare la visibilità di foto profilo e status ai soli contatti, riducendo l'esposizione in caso di future vulnerabilità simili.

La sincronizzazione immediata dei contatti è una funzionalità apprezzata e il caso solleva interrogativi sulla priorità data alla user experience rispetto a misure di sicurezza più stringenti, come l'introduzione di nomi utente al posto dei numeri di telefono. Questa funzione è effettivamente in fase di lenta distribuzione graduale.

Per approfondire:
WhatsApp introduce la traduzione automatica dei messaggi. Su iOS e Android
WhatsApp, sfondi generati dalla IA nelle videochiamate, tra personalizzazione e ...
WhatsApp, più sicurezza grazie ai nuovi strumenti IA contro le truffe onlin...
WhatsApp senza account: arrivano le Guest Chat per comunicare da "anonimi"

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Bitchat sfida WhatsApp: messaggi istantanei sicuri e crittografati, senza passare da Internet
La IA di WhatsApp riassume i messaggi non letti. Ma si legge tutte le chat

Commenti all'articolo (ultimi 5 di 6)


zeross
se i tecnotitani non sono preoccupati delle fughe di notizie dei comuni mortali, dovrebbero esserlo invece per le corporation, poiché esse hanno: Molti utenti aziendali pagano molto Due elementi che non vanno d'accordo con una gestione aziendale dei protocolli di sicurezza alla homer Simpson nella centrale nucleare di Springfield, e... Leggi tutto
26-12-2025 16:30

Gladiator
E' una feature per migliorare l'esperienza d'uso del prodotto di che vi lamentate? In pieno stile Apple! :lol: Leggi tutto
24-12-2025 15:14
{Sergio}
Ho seri dubbi sul fatto che le grandi "Aziende" vogliano porre rimedio al traffico ed alla fuga di dati è una torta troppo golosa e le sanzioni sono risibili rispetto ai guadagni.
23-11-2025 13:31
{berna}
Quel pazzoide di zuck se ne frega di tutto e di tutti, dovrebbe essere chiaro da tempo, ormai.
21-11-2025 21:40
{lesterbigsantos}
"che paranoici voi complottari fissati con la privacy, io non ho nulla da nascondere"... (cit.)
20-11-2025 20:12
Leggi gli altri 1 commenti nel forum Privacy
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Immaginiamo un mondo popolato dalle auto di Google: senza pilota, senza sterzo e senza pedali. Qual è il maggior svantaggio? (vedi anche i vantaggi)
L'auto di Google è veramente brutta! Più che un auto è un'ovovia.
Ci toglierà il piacere di guidare e la nostra vita sarà un po' più triste.
Avrà un costo non sostenibile per la maggior parte degli utenti.
Ci sarà maggior traffico: con un'auto senza pilota il trasporto privato verrebbe incentivato rispetto al trasporto pubblico.
Il Gps incorporato potrebbe non essere efficiente, costringendoci a fare percorsi più lunghi o più lenti o addirittura non portandoci mai a destinazione.
Ho timori soprattutto per la privacy: le auto di Google potranno collezionare dati su come mi sposto e quando.
In caso di incidente con nessuno al volante, non è chiaro di chi sarà la responsabilità civile. E a chi tocca pagare l'assicurazione? All'utente o a Google? O allo Stato?
Sarà esposta ad attacchi hacker o terroristici: di fatto avremo minore sicurezza sulle strade.
Se il sistema prevede un urto inevitabile, potrebbe trovarsi di fronte a scelte etiche insormontabili. Uccidere un anziano o un bambino? Due uomini o un bambino? Un uomo o una donna? Uscire di strada o urtare altri veicoli o pedoni? Andare addosso a un SUV o a un'utilitaria?
Rispetto alle auto tradizionali impiegheranno troppo tempo ad arrivare a destinazione, non potendo superare i limiti di velocità o fare manovre azzardate.
I tassisti non esisteranno più: già immagino le loro legittime proteste.

Mostra i risultati (2282 voti)
Febbraio 2026
n. 4072 del 19-02-2026
Winhance ottimizza Windows 11: meno app inutili, più velocità e controllo sistema
n. 4071 del 18-02-2026
Grave falla in Chrome già attivamente sfruttata: aggiornare subito il browser di Google
n. 4070 del 17-02-2026
Western Digital ha già venduto tutti gli hard disk del 2026
n. 4069 del 16-02-2026
Claude, il piano gratuito si potenzia: quattro funzioni premium ora accessibili a tutti
n. 4068 del 13-02-2026
Windows più leggero e veloce: WinUtil elimina il superfluo e personalizza il sistema in profondità
n. 4067 del 12-02-2026
Agenzia delle Entrate su IO: avvisi, scadenze e comunicazioni fiscali
n. 4066 del 11-02-2026
Stampanti datate a rischio? Microsoft ritira i driver legacy in Windows 11
n. 4065 del 09-02-2026
Fine dell'era 8K, LG interrompe la produzione
n. 4064 del 06-02-2026
Il dottor IA è sempre disponibile e gratuito. Ora è autorizzato a operare come un medico vero
n. 4063 del 05-02-2026
Il mercato è invaso da SSD fake, inaffidabili e con prestazioni inferiori
n. 4062 del 04-02-2026
L'Europa accende IRIS 2, la costellazione satellitare che vuole ridurre la dipendenza da Starlink
n. 4061 del 03-02-2026
Apple rivoluziona l'acquisto dei Mac
Gennaio 2026
n. 4060 del 30-01-2026
WhatsApp, chatbot di terze parti a pagamento. Ma solo in Italia
n. 4059 del 28-01-2026
WhatsApp, 4 euro al mese per rimuovere la pubblicità
n. 4058 del 27-01-2026
Windows 11, aggiornamento d'emergenza risolve i bug della patch di gennaio
Tutti gli Arretrati
Vecchi articoli
Accadde oggi - 22 febbraio
2025
Amazon chiude l'Appstore per Android
2024
Neuralink, il primo impianto su essere umano è un successo
2023
SPID a rischio, due mesi per deciderne il futuro
2022
Davvero Microsoft sta già per lanciare Windows 12?
2021
Se non accetti le nuove condizioni, WhatsApp ti cancella l'account
2020
Il ransomware che prende di mira gli italiani
2019
Google e il microfono segreto presente nei dispositivi Nest
2018
Intel rilascia una nuova patch per Meltdown e Spectre, questa volta senza errori
2017
Il malware che ti spia dal microfono del PC
2016
Samsung Galaxy S7, torna lo slot per microSD
2015
Snowden: la CIA violava le SIM card già dalla fabbricazione
2014
La prima bicicletta in titanio stampata 3D
2013
Telecom Italia, 5.500 esuberi e chiusura di più di 50 sedi
2012
Il Nook adesso è anche un tablet low-cost
2011
iControlPad trasforma l'iPhone in una console portatile
2010
T-Fumo, la sigaretta che fa bene ai polmoni (3)
2009
Il telefonino con il videoproiettore incorporato
2008
A tutta musica
2007
Telefonica e Telecom, i veri problemi
2005
Call center di Trenitalia, gara a due
2003
Il PhotoBlog dell'UomoNero
Olimpo Informatico


 
web metrics