WhatsApp è una piattaforma enorme, e una parte del suo successo deriva dalla semplicità con cui si possono trovare nuovi contatti: basta conoscere il numero di telefono. Ma questa stessa caratteristica, secondo una nuova ricerca, ha esposto per anni miliardi di utenti a potenziali rischi di privacy.
Un gruppo di ricercatori austriaci ha infatti rivelato di essere riuscito a estrarre i numeri di telefono di tutti i 3,5 miliardi di utenti WhatsApp. E non solo: per circa il 57% degli account è stato possibile visualizzare anche la foto profilo, mentre per un altro 29% era accessibile il testo dello stato.
Nessun hack sofisticato: il problema era nel sistema
La scoperta non è frutto di vulnerabilità avanzate o tecniche da “black hat”: i ricercatori hanno semplicemente automatizzato lo stesso processo che chiunque può fare su WhatsApp.
Aggiungendo numeri in sequenza tramite WhatsApp Web, il sistema restituiva informazioni basilari sull’account: se il numero era registrato, si potavano vedere la foto profilo e il testo dello stato, quando non impostati come privati.
Grazie all’interfaccia web e all’assenza di limiti, il team è arrivato a controllare 100 milioni di numeri all’ora. Un problema segnalato già nel 2017 a Meta, ma mai risolto fino a quest’anno.
Meta corre ai ripari, ma solo dopo anni
I ricercatori hanno avvisato Meta ad aprile. Solo a ottobre l’azienda ha introdotto un sistema di rate-limiting, che impedisce la verifica massiva di numeri in rapida successione.
Il colosso però minimizza: sostiene che si tratti di dati “pubblicamente disponibili” e che foto e testo profilo non erano visibili per chi li aveva resi privati. Aggiunge inoltre di non aver trovato “prove di abusi” da parte di attori malevoli e che non è stato possibile accedere ad alcuna informazione non pubblica.
Anni di esposizione potenziale
Resta però un dato: per molti anni, senza alcuna protezione, chiunque — inclusi gruppi criminali — avrebbe potuto sfruttare lo stesso sistema per raccogliere dati su scala colossale.
Una falla avrebbe potuto e dovuto essere chiusa molto prima.