Su WhatsApp, in silenzio, è avvenuto «il più grande trafugamento di dati della storia»
Premessa: su WhatsApp è possibile sapere se un nostro contatto, sul telefono, è iscritto alla piattaforma. Non finisce qui: è anche possibile, nella maggior parte dei casi, vedere la foto profilo, il nome scelto per WhatsApp e la biografia. Alcuni ricercatori di Vienna, è notizia di queste ore, provando ogni possibile numero di telefono al mondo sono riusciti a ricostruire un archivio con 3,5 miliardi di numeri di telefono iscritti a WhatsApp. Per la precisione: 3.456.622.387. Di questi, 8,4 milioni sono numeri svizzeri. La rivista specializzata Heise, nota per la sua grande prudenza, ha parlato del più grande trafugamento di dati della storia.
I ricercatori austriaci non soltanto hanno recuperato miliardi di numeri di telefono, ma hanno anche messo le mani su un'enorme quantità di informazioni personali che sono riusciti a raccogliere dalle foto dei profili e dagli status resi pubblici dagli utenti. I dati in questione sono particolarmente sensibili: includono opinioni politiche, affiliazioni religiose, link a profili di incontri e persino indirizzi e-mail di dipendenti pubblici. Solo per i numeri del Nord America, i ricercatori hanno scaricato circa 77 milioni di foto profilo, pari a 3,8 terabyte di immagini. Il software di riconoscimento facciale ha individuato un volto umano in due terzi di esse. Secondo Heise, un simile database potrebbe teoricamente essere utilizzato per creare un motore di ricerca in grado di ottenere un numero di telefono inserendo una foto e viceversa.
Le vittime di questi furti di dati possono diventare bersagli ideali per chiamate di spam, attacchi di phishing o, ancora, truffe. I criminali sanno, infatti, che questi numeri sono attivi. Ma c'è un aspetto ancora più preoccupante: i ricercatori hanno identificato 2,3 milioni di account WhatsApp attivi in Cina e 1,6 milioni in Myanmar, due Paesi in cui la piattaforma è vietata. Per questi utenti, tale fuga di notizie rappresenta un pericolo reale: le autorità potrebbero utilizzarla per individuare il loro uso illegale della piattaforma.
I dati rivelano anche l'esistenza di reti fraudolente all'interno di WhatsApp. In Myanmar e in Nigeria, i ricercatori hanno individuato account che condividono le stesse chiavi di sicurezza, una chiara indicazione che diversi truffatori sfruttano un profilo comune per contattare le stesse vittime.
Informata di questa falla dai ricercatori già nel settembre 2024, Meta – la società madre di WhatsApp – ha inizialmente fatto finta di niente o, nella migliore delle ipotesi, minimizzato. Le segnalazioni sono state classificate come «irrilevanti». Solo un anno dopo, quando i ricercatori hanno annunciato la pubblicazione dello studio, il colosso americano ha deciso di intervenire. «Vorremmo ringraziare i ricercatori dell'Università di Vienna per la loro responsabile collaborazione» ha dichiarato oggi Nitin Gupta, ingegnere capo di WhatsApp. Secondo Gupta, il lavoro dei ricercatori ha identificato un metodo per colpire milioni di numeri di telefono contemporaneamente. Tuttavia, Gupta ha pure affermato che non ci sono prove di sfruttamento, concreto, di questa falla. Da allora sono state aggiunte diverse misure di protezione.
I ricercatori viennesi, nel riferire dello studio, hanno fatto una chiara raccomandazione: gli utenti dovrebbero rivedere la visibilità della loro foto profilo e del loro stato, e limitare l'accesso solo ai loro contatti. Le modifiche possono essere effettuate nelle impostazioni dell'applicazione (icona a forma di ruota dentata) tramite Privacy > Foto del profilo / Info. Così facendo, è possibile scegliere esattamente chi vede queste informazioni.
È inoltre importante notare che le conversazioni di WhatsApp non sono mai state esposte. Il servizio cripta i messaggi end-to-end, impedendo a terzi di accedervi. Ma i dati periferici – i metadati – restano un rischio sottovalutato. Come dimostra lo studio, infatti, se accumulati in quantità sufficiente forniscono un quadro sorprendentemente accurato della vita degli utenti.