Vulnerabilità WhatsApp: esposizione dati 3.5 miliardi di account e correzione Meta
Analisi tecnica della falla di enumerazione in WhatsApp che ha permesso la ricostruzione di un database globale di account, metadati e chiavi crittografiche.
Contenuto
Un difetto nel sistema di contact discovery di WhatsApp ha consentito a un gruppo di ricercatori dell’Università di Vienna di ricostruire un database globale di oltre 3,5 miliardi di account attivi. La vulnerabilità, legata all'assenza di un limite stringente nel numero di richieste alle API, ha permesso l'accesso a metadati personali senza superare soglie di sicurezza. I messaggi sono rimasti protetti dalla crittografia end-to-end.
Meccanismo tecnico della vulnerabilità
⬆ Torna suI ricercatori hanno analizzato il funzionamento del contact discovery, la funzione che verifica quali numeri di telefono nella rubrica sono iscritti a WhatsApp. Questo processo avviene tramite interfacce di programmazione (API) che permettono a un software di interrogare automaticamente il sistema. Attraverso un'operazione di reverse engineering, il team ha scoperto che una specifica API poteva essere interrogata senza limiti di frequenza.
Utilizzando un singolo server universitario e soltanto cinque account WhatsApp legittimi, il gruppo è riuscito a verificare più di 100 milioni di numeri di telefono l'ora senza incorrere in blocchi automatici. Per l'attacco su scala globale, i ricercatori hanno generato combinazioni plausibili di numeri di telefonia mobile di 245 Paesi, per un totale di 63 miliardi di potenziali contatti, verificati tramite il protocollo XMPP.
Dati esposti e portata della raccolta
⬆ Torna suIl risultato è stato un dataset di oltre 3,5 miliardi di account, in linea con il numero totale di utenti attivi dichiarati dalla piattaforma. Per ciascun account, era possibile osservare diversi elementi: più della metà degli utenti a livello globale aveva una foto del profilo pubblica, circa un terzo mostrava un testo informativo visibile (spesso usato come stato) e quasi il 9% risultava etichettato come account aziendale.
La raccolta ha rivelato anche informazioni geografiche: gli account indiani rappresentano circa il 21% degli utenti, seguiti da Indonesia (7%) e Brasile (6%). Sono stati individuati account associati a Paesi in cui WhatsApp è ufficialmente vietato, come Cina (2,3 milioni di numeri), Iran (59 milioni di account attivi) e Corea del Nord (5 numeri).
Problemi crittografici emersi
⬆ Torna suUn aspetto tecnico riguarda le chiavi crittografiche. I ricercatori hanno individuato circa 2,9 milioni di casi di riutilizzo anomalo di chiavi pubbliche, comprese chiavi di identità e prechiavi, che dovrebbero invece essere uniche. In casi estremi, come quello di 20 numeri statunitensi associati a una chiave composta interamente da zeri, il dato suggerisce l’uso di client non ufficiali o implementazioni difettose.
Se due numeri di telefono usano la stessa coppia di chiavi, chi ha accesso alla chiave privata può accedere ai messaggi destinati a entrambi, anche se riconducibili a due account diversi. Tuttavia, i ricercatori non sono entrati in possesso di messaggi scambiati dagli utenti, segnale che la cifratura end-to-end è sufficientemente robusta.
Segnalazione e correzione da parte di Meta
⬆ Torna suMeta è stata informata tramite il programma di bug bounty nell'aprile 2025 e ha introdotto limiti più stringenti a partire da ottobre dello stesso anno, correggendo silenziosamente la falla. Nitin Gupta, vicepresidente dell'ingegneria di WhatsApp, ha dichiarato che la collaborazione con i ricercatori ha permesso di testare l'efficacia di nuove difese anti-scraping.
Le contromisure implementate includono il rate-limiting, che limita il numero di richieste consentite in un certo intervallo di tempo, e restrizioni sulla visibilità dei profili, rendendo più difficile la raccolta di dati su larga scala. La stessa falla, seppur su scale diverse, era già stata identificata nel 2017 dal ricercatore Loran Kloeze, ma non era stata affrontata con la stessa urgenza.
Impatto potenziale e rischi associati
⬆ Torna suUn numero di telefono esposto può essere utilizzato per spam, campagne di phishing e attacchi mirati, soprattutto se associato a dati sottratti da altre piattaforme. La generazione di un database globale avrebbe potuto permettere a entità malevole o a governi autoritari di identificare utenti, inclusi dissidenti in paesi con divieti di utilizzo.
La ricerca evidenzia come metà circa dei numeri esposti in una fuga di dati che ha colpito Facebook nel 2021 sia ancora attiva su WhatsApp, sottolineando il possibile impatto sul lungo periodo delle fughe di dati. La semplice identificabilità degli utenti, anche senza accesso ai contenuti, può aumentare i rischi personali in contesti di sorveglianza.
Questo articolo è stato redatto esclusivamente sulla base delle fonti elencate, senza aggiunte speculative o informazioni esterne.
Fonti
⬆ Torna su- https://www.geopop.it/la-piu-grande-violazione-di-dati-della-storia-bug-whatsapp-ha-esposto-35-miliardi-di-account/
- https://www.repubblica.it/tecnologia/2025/11/20/news/falla_whatsapp_esposti_35_miliardi_di_numeri_di_telefono_nota_dal_2017_e_corretta_solo_nel_2025-424992918/
- https://www.corriere.it/tecnologia/25_novembre_20/alcuni-ricercatori-hanno-ottenuto-3-5-miliardi-di-contatti-su-whatsapp-e-la-piu-grande-fuga-di-dati-della-storia-761c8748-bf26-461e-8405-056f76649xlk.shtml
- https://www.ilsoftware.it/come-funziona-davvero-la-vulnerabilita-whatsapp-che-ha-esposto-i-dati-di-35-miliardi-di-utenti/
In breve
- contactdiscovery
- crittografia
- metadati
- april2025