La falla di WhatsApp sui numeri esposti scuote la sicurezza digitale

Per milioni di utenti, WhatsApp è sinonimo di immediatezza. Aggiungi un numero in rubrica, apri l’app e in un istante vedi se la persona è registrata, qual è la sua foto profilo e, spesso, anche il testo dello stato. È un gesto semplice, quasi automatico.

Eppure proprio questa semplicità ha generato un’anomalia gigantesca: una falla che ha reso possibile la scansione di miliardi di numeri e la raccolta di immagini profilo e stati, dando vita alla più ampia esposizione di dati mai documentata.

Secondo gli studiosi dell’Università di Vienna, il problema è rimasto aperto per anni, fino a pochi mesi fa, senza limiti né controlli reali.

Una vulnerabilità ignorata dal 2017: cosa hanno scoperto i ricercatori

Gli studiosi spiegano che la falla alla base di WhatsApp numeri i esposti non richiedeva competenze elevate né tecniche avanzate. Bastava replicare, in modo automatizzato, l’azione di un utente che aggiunge un contatto.

La scoperta più impressionante riguarda la velocità della scansione: il team è riuscito a controllare 100 milioni di numeri all’ora, sfruttando il fatto che WhatsApp Web non applicava alcun limite al numero di interrogazioni.

In pratica, qualunque attore malevolo poteva:

• verificare se un numero era registrato;
• raccogliere foto profilo per oltre la metà degli utenti;
• leggere lo stato per quasi un terzo di essi.

La falla era stata segnalata già nel 2017. Nonostante ciò, Meta è intervenuta solo nell’ottobre 2025, introducendo un sistema di rate-limiting che impedisce ripetizioni su larga scala.

Gli studiosi sottolineano un punto chiave: non hanno dovuto aggirare nessuna protezione, perché non ne esistevano.

Rischi concreti: dal phishing ai Paesi dove l’app è vietata

La fuga di dati causata da WhatsApp numeri esposti non è un semplice incidente tecnico. I rischi sono molteplici e, in alcuni casi, seri:

• campagne di phishing costruite su database perfetti;
• spam personalizzato con alta probabilità di successo;
• attacchi mirati basati su numeri e profili pubblici;
• esposizione degli utenti in Paesi dove WhatsApp è vietata.

Il team di ricerca ha infatti trovato milioni di numeri attivi in nazioni come Cina e Myanmar, dove l’uso dell’app può avere conseguenze severe. In questi contesti ottenere un elenco completo equivale, potenzialmente, a identificare dissidenti e utenti non autorizzati.

Un altro elemento preoccupante riguarda la crittografia: gli studiosi hanno rilevato migliaia di chiavi duplicate, spesso riconducibili a client WhatsApp non ufficiali, utilizzati da truffatori e sviluppati con implementazioni scorrette del sistema end-to-end.

Cosa cambia ora e come proteggere i propri dati su WhatsApp

Meta sottolinea che i contenuti privati non sono stati esposti, ma il problema resta grave perché il profilo pubblico è spesso lasciato troppo aperto.

Nel frattempo, WhatsApp continua a testare gli username, che potrebbero ridurre questo tipo di rischio eliminando l’associazione diretta tra numero di telefono e identità. Non c’è però una data certa per il rilascio globale.

Per gli utenti, le azioni consigliate sono chiare:

• limitare la foto profilo ai soli contatti;
• rivedere la visibilità dello stato;
• evitare dettagli personali nella sezione “info”;
• controllare regolarmente le impostazioni della privacy.

La vicenda apre interrogativi profondi su come le grandi piattaforme bilancino comodità e sicurezza. In attesa di nuovi correttivi strutturali, la protezione dei dati passa anche dalle scelte degli utenti.