Inserendo decine di miliardi di numeri di telefono nello strumento di ricerca dei contatti di WhatsApp, i ricercatori hanno scoperto “la più ampia esposizione di numeri di telefono” di sempre, insieme a foto del profilo e altro ancora.
Foto-illustrazione: Wired Staff; Getty Images
L’adozione di massa di WhatsAppderiva in parte dalla facilità con cui è possibile trovare un nuovo contatto sulla piattaforma di messaggistica: aggiungi il numero di telefono di qualcuno e WhatsApp mostra immediatamente se è iscritto al servizio e spesso anche la sua immagine del profilo e il suo nome.
Ripetendo lo stesso trucco miliardi di volte con ogni possibile numero di telefono, si scopre che la stessa funzione può anche rivelarsi un modo pratico per ottenere il numero di cellulare di praticamente ogni utente WhatsApp sulla Terra, insieme, in molti casi, alle foto del profilo e al testo che identifica ciascuno di quegli utenti. Il risultato è un’esposizione diffusa di informazioni personali per una frazione significativa della popolazione mondiale.ANNUNCIO
Un gruppo di ricercatori austriaci ha ora dimostrato di essere riuscito a utilizzare questo semplice metodo di controllo di ogni possibile numero nella ricerca dei contatti di WhatsApp per estrarre i numeri di telefono di 3,5 miliardi di utenti dal servizio di messaggistica. Per circa il 57% di questi utenti, hanno anche scoperto di poter accedere alle foto del profilo e per un altro 29% al testo presente sul loro profilo. Nonostante un precedente avviso sulla divulgazione di questi dati da parte di WhatsApp da parte di un altro ricercatore nel 2017, affermano che la società madre del servizio, Meta, non è riuscita a limitare la velocità o il numero di richieste di ricerca dei contatti che i ricercatori potevano effettuare interagendo con l’app basata su browser di WhatsApp, consentendo loro di controllare circa cento milioni di numeri all’ora.
https://www.wired.com/video/watch/incognito-mode-6-of-the-worst-data-breaches-in-us-historyVideo in evidenza6 Of The Worst Data Breaches in U.S. History
Il risultato sarebbe “la più grande fuga di dati della storia, se non fosse stata raccolta nell’ambito di uno studio di ricerca condotto in modo responsabile”, come descrivono i ricercatori in un articolo che documenta le loro scoperte .
“Per quanto ne sappiamo, si tratta della più ampia esposizione di numeri di telefono e dati utente correlati mai documentata”, afferma Aljosha Judmayer, uno dei ricercatori dell’Università di Vienna che ha lavorato allo studio.
I ricercatori affermano di aver avvisato Meta delle loro scoperte ad aprile e di aver cancellato la loro copia dei 3,5 miliardi di numeri di telefono. Entro ottobre, l’azienda aveva risolto il problema di enumerazione adottando una misura di “limitazione della velocità” più rigorosa che impediva il metodo di scoperta dei contatti su larga scala utilizzato dai ricercatori. Ma fino ad allora, l’esposizione dei dati avrebbe potuto essere sfruttata anche da chiunque altro utilizzando la stessa tecnica di scraping, aggiunge Max Günther, un altro ricercatore dell’università che ha co-scritto l’articolo. “Se avessimo potuto recuperarli con estrema facilità, anche altri avrebbero potuto fare lo stesso”, afferma.
In una dichiarazione a WIRED, Meta ha ringraziato i ricercatori, che hanno segnalato la loro scoperta tramite il sistema “bug bounty” di Meta, e ha descritto i dati esposti come “informazioni di base disponibili al pubblico”, poiché foto e testo del profilo non sono stati esposti agli utenti che hanno scelto di renderli privati. “Avevamo già lavorato su sistemi anti-scraping leader del settore e questo studio è stato determinante per testare lo stress e confermare l’efficacia immediata di queste nuove difese”, scrive Nitin Gupta, vicepresidente dell’ingegneria di WhatsApp. Gupta aggiunge: “Non abbiamo trovato prove di malintenzionati che abusassero di questo vettore. Ricordiamo che i messaggi degli utenti sono rimasti privati e sicuri grazie alla crittografia end-to-end predefinita di WhatsApp e nessun dato non pubblico è stato accessibile ai ricercatori”.I più popolari
Nonostante la descrizione di Meta, i ricercatori affermano di non aver eluso né incontrato alcuna “difesa” nella raccolta dei numeri di telefono. Né il loro lavoro è il primo in cui WhatsApp viene avvertita della divulgazione di numeri di telefono e dei dati del profilo associati. Ben otto anni fa, nel 2017, il ricercatore olandese Loran Kloeze scrisse un post sul blog sottolineando che la tecnica di enumerazione dei numeri di telefono era possibile e che poteva essere utilizzata per ottenere numeri di telefono, foto del profilo e anche gli orari in cui un utente era online.
Kloeze descrisse uno scenario in cui l’esposizione dei dati avrebbe potuto essere combinata con il riconoscimento facciale per creare un enorme database di informazioni personali identificabili. “Questo sì che è spaventoso, vero?”, scrisse. Meta, e poi Facebook, risposero alle sue scoperte, sostenendo che le impostazioni sulla privacy di WhatsApp funzionavano ancora come previsto – gli utenti possono scegliere di rendere le informazioni del proprio profilo accessibili solo ai contatti da loro scelti – e gli dissero persino che all’epoca non aveva diritto a una ricompensa per il bug bounty per il suo lavoro.
Quando WIRED ha chiesto a Meta quali misure di limitazione della velocità avesse istituito negli ultimi otto anni per prevenire la tecnica dimostrata da Kloeze, l’azienda ha risposto di aver effettivamente implementato difese in continua evoluzione contro gli scraper, tra cui tecniche di limitazione della velocità e di apprendimento automatico per vietarli. Tuttavia, i ricercatori dell’Università di Vienna sono stati in grado non solo di accedere a dati simili a quelli ottenuti da Kloeze con il loro metodo di enumerazione, ma anche di approfondire la ricerca, raccogliendo tutti i 3,5 miliardi di numeri di telefono WhatsApp registrati, molti di più di quanti il servizio ne avesse nel 2017. Hanno anche affrontato la questione di WhatsApp sulle impostazioni della privacy misurando quanti utenti hanno esposto pubblicamente informazioni personali nei loro profili, suddividendo i risultati per Paese. Hanno scoperto che il 44% dei 137 milioni di numeri di telefono americani raccolti mostrava foto e il 33% mostrava un testo pubblico “about”, ad esempio.I più popolari
Nei Paesi in cui WhatsApp è ancora più diffuso, una percentuale minore della popolazione ha attivato le impostazioni sulla privacy: in India, dove i ricercatori hanno contato quasi 750 milioni di numeri, il 62% degli account mostrava pubblicamente una foto del profilo. Per i 206 milioni di numeri brasiliani da loro individuati, il 61% aveva la foto del profilo esposta.
I ricercatori dell’Università di Vienna si sono imbattuti nel problema di enumerazione dei numeri di telefono di WhatsApp l’anno scorso, mentre stavano testando cosa potevano imparare dal servizio sugli utenti nonostante la crittografia end-to-end dei messaggi, ad esempio quando un utente si connette dall’app desktop rispetto a quella mobile. Hanno scoperto che l’app non sembrava avere alcuna protezione evidente che limitasse la velocità di trasmissione, quindi hanno provato semplicemente a enumerare tutti i numeri statunitensi. “In mezz’ora, avevamo circa 30 milioni di numeri basati negli Stati Uniti”, afferma Gabriel Gegenhuber, uno dei ricercatori dell’Università di Vienna. “Quindi siamo rimasti un po’ sorpresi. E poi abbiamo continuato a lavorare.”
I ricercatori sottolineano che un pubblico interessato ai dati dei numeri di telefono esposti sarebbero truffatori e spammer alla ricerca di un database di potenziali bersagli. Ma i ricercatori hanno anche scoperto milioni di numeri di telefono registrati su WhatsApp in paesi in cui l’app è ufficialmente vietata, tra cui 2,3 milioni in Cina e 1,6 milioni in Myanmar. I governi di quei paesi potrebbero aver sfruttato l’esposizione di WhatsApp per raccogliere quei numeri e dare la caccia agli utenti di app illegali, sottolineano i ricercatori. Secondo alcuni rapporti , alcuni musulmani in Cina sono stati arrestati semplicemente per aver installato WhatsApp sui loro telefoni.
I ricercatori dell’Università di Vienna hanno anche analizzato le chiavi crittografiche dei 3,5 miliardi di account che hanno trovato esposti tramite il loro metodo di enumerazione, le lunghe stringhe di caratteri utilizzate per ricevere messaggi crittografati nel protocollo di crittografia end-to-end di WhatsApp. Hanno scoperto che un numero sorprendente di account utilizzava chiavi duplicate, un problema di sicurezza dato che chiunque avesse la stessa chiave di un altro utente sarebbe stato in grado di decifrare i messaggi inviati a loro.I più popolari
Hanno scoperto che alcune chiavi sono state riutilizzate centinaia di volte e, stranamente, 20 numeri statunitensi utilizzavano una chiave composta da soli zeri. I ricercatori ipotizzano, tuttavia, che la duplicazione delle chiavi sia stata probabilmente causata da client WhatsApp non autorizzati, piuttosto che da un difetto di WhatsApp stesso. Esaminando più attentamente alcuni degli account con chiavi crittografiche ripetute, hanno anche notato che sembravano account di truffatori, il che suggerisce che alcune operazioni fraudolente che sfruttano WhatsApp potrebbero utilizzare un client con funzionalità di crittografia compromesse.
Oltre alla mancanza di limitazione della frequenza, i ricercatori sostengono che i loro risultati indicano un problema più fondamentale con servizi come WhatsApp: i numeri di telefono, affermano, non hanno effettivamente abbastanza casualità per essere utilizzati come identificatore univoco per un servizio con miliardi di utenti. Questo rende la limitazione della frequenza l’unica misura disponibile per impedire che i dati degli utenti vengano acquisiti in massa, e una misura che non sarà mai completamente sicura contro le perdite di privacy se WhatsApp darà priorità alla comoda scoperta dei contatti per gli utenti. (WhatsApp ha, infatti, iniziato a testare una funzionalità per il nome utente in versione beta , che potrebbe offrire un approccio migliore alla privacy.)
“I numeri di telefono non sono stati progettati per essere utilizzati come identificatori segreti per gli account, ma è così che vengono utilizzati nella pratica”, afferma Judmayer. “Se si dispone di un servizio di grandi dimensioni utilizzato da oltre un terzo della popolazione mondiale, e questo è il meccanismo di rilevamento, allora è un problema”.
Aggiornato alle 13:15 ET, 19 novembre 2025 per chiarire che i ricercatori dell’Università di Vienna hanno utilizzato un metodo di enumerazione diverso da quello utilizzato da Kloeze otto anni prima.
Andy Greenberg è un autore senior per WIRED che si occupa di hacking, sicurezza informatica e sorveglianza. È autore dei libri ”
Tracers in the Dark: The Global Hunt for the Crime Lords of Cryptocurrency” e
“Sandworm: A New Era of Cyberwar and the Hunt for the Kremlin’s Most Dangerous Hackers” . I suoi libri…
