Una falla nel sistema di “discovery” dei contatti di WhatsApp ha permesso a un team di ricercatori di raccogliere dati su scala globale.
Sebbene Meta abbia corretto il problema, l’incidente solleva dubbi strutturali sull’uso del numero di telefono come identificativo unico.
Esposti 3,5 miliardi di account WhatsApp, per fortuna la falla è stata scoperta dai ricercatori
La semplicità è sempre stata l’arma vincente di WhatsApp: basta salvare un numero di telefono in rubrica e l’applicazione ti dice immediatamente se quella persona è iscritta al servizio, mostrandoti spesso la sua foto profilo e il suo nome. Tuttavia, ripetendo questa operazione miliardi di volte in modo automatizzato, quella che appare come una comoda funzionalità si trasforma in un vettore di sorveglianza di massa.
Un gruppo di ricercatori dell’Università di Vienna ha dimostrato come questo meccanismo abbia permesso l’esposizione dei dati personali di una porzione significativa della popolazione mondiale. Attraverso un metodo di enumerazione dei contatti, il team è riuscito a estrarre e catalogare ben 3,5 miliardi di numeri di telefono di utenti WhatsApp.
La più grande esposizione di dati mai documentata
Secondo lo studio, per circa il 57%di questi profili è stato possibile recuperare l’immagine pubblica, e per il 29% le informazioni testuali (la sezione “Info” o “About”).
I ricercatori sono riusciti a interrogare i server di WhatsApp a una velocità impressionante, controllando circa cento milioni di numeri all’ora senza incontrare resistenze significative da parte dei sistemi di sicurezza di Meta.
Aljosha Judmayer, uno dei ricercatori coinvolti, non usa mezzi termini: “Per quanto ne sappiamo, questa segna la più vasta esposizione di numeri di telefono e dati utente correlati mai documentata“. Nel documento che accompagna la ricerca, il team definisce l’accaduto come quello che sarebbe stato “il più grande data leak della storia, se non fosse stato raccolto come parte di uno studio di ricerca condotto responsabilmente“.
La risposta di Meta e la correzione tardiva
I ricercatori hanno avvisato Meta della vulnerabilità nell’aprile scorso, cancellando successivamente il database di 3,5 miliardi di numeri. Entro ottobre, l’azienda ha implementato misure di “rate-limiting” più severe, bloccando di fatto il metodo utilizzato dallo studio.
Tuttavia, Max Günther, co-autore della ricerca, sottolinea un punto critico: fino a quel momento, la tecnica era sfruttabile da chiunque. “Se è stato così facile per noi recuperare questi dati, altri avrebbero potuto fare lo stesso“, avverte.
In una dichiarazione rilasciata a Wired, Meta ha ringraziato i ricercatori, che hanno segnalato il problema tramite il programma “bug bounty”, ma ha minimizzato la natura dei dati esposti, definendoli “informazioni di base disponibili pubblicamente“. Nitin Gupta, vicepresidente dell’ingegneria di WhatsApp, ha affermato: “Non abbiamo trovato prove di attori malintenzionati che abbiano abusato di questo vettore. I messaggi degli utenti sono rimasti privati e sicuri grazie alla crittografia end-to-end“.
Un avvertimento ignorato dal 2017
Nonostante le rassicurazioni di Meta, questa non è la prima volta che il problema viene sollevato. Già nel 2017, il ricercatore olandese Loran Kloeze aveva avvertito che la tecnica di enumerazione dei numeri poteva essere utilizzata per creare database giganti di informazioni identificabili. All’epoca, Meta (allora Facebook) rispose che le impostazioni di privacy funzionavano come previsto e che Kloeze non aveva diritto a una ricompensa.
Otto anni dopo, i ricercatori austriaci hanno dimostrato che le difese contro lo scraping erano ancora insufficienti. Hanno inoltre analizzato le abitudini di privacy per nazione:
- Negli Stati Uniti, il 44% dei numeri mostrava foto pubbliche.
- In India (dove sono stati contati quasi 750 milioni di numeri), ben il 62% aveva la foto esposta.
- In Brasile, il 61% dei 206 milioni di account rilevati mostrava l’immagine del profilo.
Rischi geopolitici e anomalie tecniche
L’esposizione non riguarda solo il rischio di spam o truffe. I ricercatori hanno individuato milioni di account in paesi dove WhatsApp è ufficialmente bandito o limitato, come la Cina (2,3 milioni di numeri) e il Myanmar (1,6 milioni). In questi contesti, un database similepotrebbe essere utilizzato da regimi autoritari per identificare e perseguire gli utenti che utilizzano l’app illegalmente.
Un dettaglio tecnico curioso emerso dallo studio riguarda le chiavi crittografiche. Sebbene la crittografia di WhatsApp sia solida, i ricercatori hanno trovato numerosi account che condividevano le stesse chiavi pubbliche o utilizzavano chiavi composte da soli zeri. Questo fenomeno, secondo il team, è probabilmente dovuto all’uso di client WhatsApp non ufficiali o non autorizzati, spesso utilizzati da spammer o truffatori, che implementano la crittografia in modo errato.
Il problema strutturale del numero di telefono
La conclusione dello studio punta il dito contro un difetto strutturale dell’ecosistema digitale odierno: i numeri di telefono non possiedono sufficiente “casualità” (randomness) per essere usati come identificativi segreti sicuri. Essendo sequenziali e prevedibili, sono facili da indovinare.
“I numeri di telefono non sono stati progettati per essere usati come identificatori segreti per gli account, ma è così che vengono usati nella pratica“, conclude Judmayer. Finché WhatsApp darà priorità alla facilità di scoperta dei contatti rispetto alla privacy (anche se l’introduzione futura degli username potrebbe cambiare le cose), il “rate-limiting” rimarrà l’unica, fragile barriera contro la sorveglianza di massa.