Negli ultimi mesi, è stata scoperta una grave vulnerabilità nell’API di WhatsApp che ha consentito a ricercatori di accedere ai dati pubblici associati a oltre 3,5 miliardi di numeri telefonici. Questo problema riguarda il meccanismo di enumerazione dei numeri di telefono, che normalmente verifica se un numero è registrato sulla piattaforma e restituisce dati pubblici come la foto profilo e la descrizione “info” inserita dall’utente.
La falla è stata sfruttata inviando milioni di richieste al server di WhatsApp a un ritmo di circa 7.000 numeri al secondo, senza che il sistema bloccasse o limitasse queste interrogazioni. Questo ha permesso di raccogliere non solo i numeri di telefono ma anche dati aggiuntivi pubblici, come immagini del profilo e testi descrittivi, che in alcuni casi possono rivelare informazioni sensibili come orientamenti politici, affiliazioni o dati personali.
Secondo gli esperti, la aggregazione di questi dati su larga scala può fornire un quadro dettagliato e potenzialmente pericoloso per la privacy degli utenti. In particolare, queste informazioni potrebbero essere utilizzate da attori malintenzionati o regimi autoritari per identificare e monitorare individui, con rischi di persecuzione o violazione della libertà.
È importante evidenziare che la falla non ha permesso di accedere ai contenuti dei messaggi, che restano protetti da crittografia end-to-end, ma solo ai dati pubblici associati ai numeri telefonici. Tuttavia, la dimensione del problema è stata definita dagli esperti come una delle più grandi fughe di dati mai registrate.
Meta, la società proprietaria di WhatsApp, è stata informata della vulnerabilità già nel 2017, ma le misure di protezione sono state implementate solo nel 2025. Recentemente l’azienda ha introdotto limitazioni nel numero di richieste che un utente può effettuare e restrizioni nell’accesso ai dati pubblici dei profili, per impedire exploit simili in futuro.
Questo episodio rappresenta un campanello d’allarme sulla necessità di una maggiore attenzione e interventi tempestivi nella gestione della sicurezza e della privacy nelle piattaforme di messaggistica usate da miliardi di persone nel mondo.
