La falla di WhatsApp, ha sottolineato il gruppo di analisti austriaci che l’ha scoperta, porterebbe al “più grande data leak della storia“.

Nel settembre 2024, “oltre 3,5miliardi di profili WhatsApp erano esposti online, senza alcuna protezione“. Questo incidente cyber, “sarebbe stato il più grande data leak, in termini di utenti coinvolti, nella storia della sicurezza informatica“.

È quanto emerge da “Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy“, lo studio di un gruppo di analisti, appartenenti all’Università di Vienna e alla SBA Research. Dopo aver identificato la falla, gli analisti sono riusciti a scaricare tutte le informazioni disponibili, inclusi numeri di telefono, dati di profilo e chiavi pubbliche degli utenti. Successivamente le hanno cancellate.

Hanno così dimostrato la possibilità di interrogare più di 100 milioni di numeri di telefono ogni ora attraverso l’infrastruttura della piattaforma. Di quei, l’esistenza degli oltre 3,5 miliardi di account attivi distribuiti in 245 Paesi del mondo. Profili attivi di WhatsApp si trovano anche in Stati dove l’pplicazione sarebbe formalmente vietata, come la Cina o il Myanmar.

Come è stata scoperta la falla?

Nel corso della loro ricerca – condotta tra settembre 2024 e aprile 2025 – il gruppo aveva già trattato questioni relative alla sicurezza di WhatsApp. In questo senso, per esempio, aveva rivelato come l’applicazione “rivelasse informazioni nonostante la crittografia e come un attaccante potesse riuscire a indebolire la crittografia stessa“.

Sono bastati cinque profili autenticati e un singolo server universitario per costruire un dataset. Al suo interno si trovavano numeri di telefono, chiavi pubbliche, timestamp. E insieme, quando impostati come pubblici, “foto profilo e testi informativi degli utenti“.

Tuttavia, nonostante la falla fosse nota dal 2017 e nonostante i numerosi avvisi e richiami, Meta Platforms (che possiede WhatsApp) ha ignorato a lungo le loro preoccupazioni. L’implementazione di limiti più severi sul numero di interrogazioni, da parte di Meta, è avvenuta solo nell’ottobre 2025.

Quali sono i dati a rischio?

Lo studio non riguarda solo il ‘mercato dei dati’ delle piattaforme digitali. In effetti, sebbene i ricercatori non abbiano mai intercettato comunicazioni o metadati da dispositivi finali, le informazioni raccolte possono comunque esporre gli utenti a gravi rischi.

Ad esempio, la combinazione di numeri di telefono, profili e le chiavi pubbliche potrebbe consentire a dei cyber criminali di tracciare, manipolare o estorcere denaro da determinate categorie di utenti.

Potrebbero poi esserci degli attacchi di phishing estremamente mirati, in cui gli aggressori impiegano le informazioni ottenute per indurre gli utenti a rivelare ulteriori dettagli sensibili. Su tutte, le credenziali bancarie o altre informazioni personali.

Per approfondire

Leggi il preprint, con annesso abstract, di “Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy“.

Lo presentazione integrale di “Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy” avverrà il prossimo anno. L’occasione sarà quella del Simposio sulla Sicurezza di Rete e Sistemi Distribuiti (NDSS).