Scoperta una falla in WhatsApp: 3,5 miliardi di numeri esposti

La sicurezza digitale degli utenti è stata messa nuovamente alla prova da una scoperta che coinvolge una delle piattaforme di messaggistica più diffuse e, fino a ieri, considerate tra le più sicure: WhatsApp. Nonostante le rassicurazioni e le solide implementazioni di crittografia end-to-end, un’indagine condotta dai ricercatori dell’Università di Vienna e di SBA Research ha svelato una falla significativa, che ha permesso l’esposizione di un dato personale estremamente delicato: il numero di telefono degli utenti. Ma come è stato possibile che proprio questo dato, centrale nell’identità digitale di ciascuno, sia rimasto vulnerabile per così tanto tempo?

L’indagine, svolta tra dicembre 2024 e aprile 2025, ha preso di mira la funzione di contact discovery, ovvero quel meccanismo che consente all’app di riconoscere e suggerire i contatti già presenti nella rubrica dell’utente. Gli studiosi hanno automatizzato questa procedura, riuscendo a mappare oltre 3,5 miliardi di account attivi su scala globale, in ben 245 Paesi. Un dato impressionante che sottolinea quanto sia vasta la platea di persone potenzialmente coinvolte. Ancora più preoccupante è il fatto che, nel 57% dei casi, siano state raccolte anche le foto profilo e, nel 29%, informazioni relative allo stato dell’utente. Questo scenario apre la strada a rischi tangibili di privacy compromessa, tra spam, phishing e persino attività di sorveglianza mirata.

Il fenomeno non risparmia nessuna area geografica, ma spiccano alcune realtà nazionali: in Italia sono stati identificati ben 55,6 milioni di profili esposti, mentre l’India detiene il primato mondiale con oltre 749 milioni di utenti vulnerabili. Questi numeri sono particolarmente allarmanti se si considera che, in alcune nazioni come Cina, Myanmar e Corea del Nord, dove l’uso di WhatsApp è formalmente proibito, sono comunque state individuate presenze registrate. Un dettaglio che solleva interrogativi sulla reale efficacia dei blocchi imposti da alcuni governi e sulla capacità delle piattaforme di controllare la propria diffusione.

Ma come si è arrivati a questa situazione? La vulnerabilità alla base di questa esposizione non è affatto una novità: era già stata teorizzata nel 2017 dal ricercatore Loran Kloeze, ma è rimasta sfruttabile per anni, fino a quando Meta – la società madre di WhatsApp – ha finalmente deciso di intervenire. Solo nell’ottobre 2025, infatti, sono state implementate le prime restrizioni, in risposta alle segnalazioni provenienti dal team di ricercatori austriaci. Una tempistica che non può non far riflettere: sono stati necessari ben otto anni perché una falla nota venisse finalmente chiusa, lasciando per tutto questo tempo miliardi di utenti esposti a rischi concreti.

Gli esperti di sicurezza sottolineano che la vera minaccia non risiede solo nell’accesso ai contenuti delle chat – che restano protetti dalla crittografia end-to-end – ma soprattutto nella possibilità di associare sistematicamente informazioni apparentemente innocue, come una foto o uno stato, a un numero di telefono. In questo modo, anche dati che a prima vista sembrano privi di valore diventano un potenziale strumento di profilazione, tracciamento e attacco informatico su larga scala. I limiti delle API e delle funzioni di sincronizzazione, spesso progettate per offrire una migliore esperienza utente, si rivelano dunque il vero tallone d’Achille della piattaforma.

In risposta alle critiche, Meta ha dichiarato di aver introdotto nuovi limiti per contrastare l’abuso automatizzato delle proprie funzionalità, pur senza fornire dettagli tecnici esaustivi sulle soluzioni adottate. Nel frattempo, però, la responsabilità della tutela dei dati ricade ancora una volta sugli utenti: aggiornare regolarmente l’applicazione, configurare con attenzione la visibilità delle proprie informazioni, attivare la verifica in due passaggi e mantenere un atteggiamento vigile verso messaggi sospetti restano le uniche contromisure realmente efficaci a disposizione di chi utilizza WhatsApp quotidianamente.

La vicenda pone l’accento su un tema sempre più centrale nell’era digitale: la privacy non è mai un traguardo definitivo, ma un equilibrio dinamico tra innovazione tecnologica e consapevolezza dei rischi. Mentre le piattaforme sociali e di messaggistica evolvono e si espandono, è fondamentale che anche gli standard di sicurezza e la trasparenza nei confronti degli utenti tengano il passo. Solo così sarà possibile ridurre la distanza tra le promesse di protezione e la realtà di una rete sempre più interconnessa e, purtroppo, vulnerabile.