Ciao a tutti, amici lettori! Sedetevi comodi, perché oggi parliamo di un argomento che ci tocca da vicino: la privacy su WhatsApp. Probabilmente avrete sentito un brivido lungo la schiena leggendo i titoli degli ultimi giorni: "falla di sicurezza", "3,5 miliardi di numeri esposti", "il più grande data leak della storia". Parole che fanno paura, non c'è che dire. Ma come stanno davvero le cose? Cerchiamo di capirlo insieme, con calma e senza inutili allarmismi.
Cos'è successo esattamente? La scoperta dell'Università di Vienna
Tutto parte da un brillante team di ricercatori dell'Università di Vienna e di SBA Research. Questi esperti di sicurezza informatica hanno scoperto che una funzione base di WhatsApp, quella che ci permette di vedere quali dei nostri contatti in rubrica usano l'app, poteva essere sfruttata in modo... diciamo, un po' creativo. In pratica, usando un software per automatizzare il processo, sono riusciti a "interrogare" i server di WhatsApp su una scala gigantesca. Hanno testato miliardi di combinazioni di numeri di telefono, riuscendo a verificare l'esistenza di circa 3,5 miliardi di account attivi in 245 paesi, il tutto a una velocità impressionante di circa 100 milioni di numeri all'ora.
Ma attenzione, cosa significa "verificare"? Significa che il sistema rispondeva "sì, questo numero ha un account WhatsApp". Una volta ottenuta questa conferma, i ricercatori sono riusciti, in molti casi, ad accedere anche ad altre informazioni:
- La foto del profilo, nel 57% dei casi.
- Il testo dello stato "Info" (quello sotto il nostro nome), nel 29% dei casi.
- Altri metadati, come le chiavi pubbliche per la crittografia e informazioni da cui si poteva dedurre il sistema operativo (Android o iOS) o il numero di dispositivi collegati.
È fondamentale sottolineare una cosa: i vostri messaggi privati non sono mai stati a rischio. Grazie alla crittografia end-to-end, il contenuto delle chat è rimasto al sicuro e inaccessibile. Il problema riguardava i cosiddetti "metadati", ovvero le informazioni "intorno" ai messaggi.
Un problema non del tutto nuovo: i precedenti del 2017
Qui la storia si fa interessante. A quanto pare, questa non è una novità assoluta. Già nel 2017, un altro ricercatore aveva segnalato a Meta una vulnerabilità molto simile, che permetteva di automatizzare l'inserimento dei contatti su larga scala. All'epoca, però, la segnalazione non fu classificata come una falla di sicurezza critica. I ricercatori di Vienna hanno utilizzato una tecnica diversa ma concettualmente simile, dimostrando che, a distanza di anni, il problema di fondo non era stato completamente risolto con barriere tecniche efficaci, come dei limiti più severi al numero di richieste (il cosiddetto "rate-limiting").
La risposta di Meta: "Nessun allarme, dati già pubblici"
Naturalmente, Meta (l'azienda madre di WhatsApp e Facebook) non è rimasta a guardare. I ricercatori hanno agito in modo etico, segnalando la falla ad aprile 2025 nell'ambito del programma "Bug Bounty" dell'azienda. Dopo la segnalazione, Meta si è messa al lavoro e, a ottobre, ha implementato le contromisure necessarie per chiudere definitivamente la falla, introducendo blocchi più severi.
In una dichiarazione ufficiale, Meta ha ringraziato i ricercatori e ha minimizzato i rischi. Secondo l'azienda, le informazioni esposte erano "informazioni di base disponibili al pubblico", ovvero dati che un utente sceglie di rendere visibili a chiunque abbia il suo numero. Nitin Gupta, vicepresidente dell'ingegneria di WhatsApp, ha dichiarato: "Non abbiamo trovato prove di malintenzionati che abusassero di queste informazioni. Ricordiamo che i messaggi degli utenti sono rimasti privati e sicuri... e nessun dato non pubblico è stato accessibile ai ricercatori".
Cosa significa questo per la nostra privacy?
La posizione di Meta è comprensibile, ma la questione è più sfumata. È vero che la mia foto profilo potrei averla impostata come "pubblica", ma un conto è che la veda un mio amico a cui do il numero, un altro è che possa essere raccolta in un database gigante insieme a quella di altre 3 miliardi di persone. Come ha sottolineato Aljosha Judmayer, uno dei ricercatori, si è trattato della "più ampia esposizione di numeri di telefono e dati utente correlati mai documentata".
Un database del genere, nelle mani sbagliate, potrebbe diventare una miniera d'oro per truffatori, spammer e malintenzionati per orchestrare attacchi di phishing o truffe molto mirate. Inoltre, lo studio ha rivelato che quasi la metà dei numeri di telefono finiti nel famoso data leak di Facebook del 2021 erano ancora attivi su WhatsApp, dimostrando come questi dati abbiano una "vita" molto lunga e possano essere riutilizzati nel tempo.
Conclusione: panico no, attenzione sì
Tirando le somme, dobbiamo farci prendere dal panico e cancellare WhatsApp? Assolutamente no. La falla è stata chiusa, i nostri messaggi sono sempre stati al sicuro e i ricercatori hanno agito in modo responsabile, cancellando tutti i dati raccolti. Questa vicenda, però, è un'importante campanello d'allarme.
Ci ricorda che nel mondo digitale la distinzione tra "dato pubblico" e "dato privato" è sempre più labile. Anche informazioni apparentemente innocue, se raccolte su vasta scala, possono creare rischi per la nostra sicurezza. Questo evento sottolinea la responsabilità enorme che hanno le grandi piattaforme come Meta nel proteggere non solo i contenuti, ma anche i metadati dei loro miliardi di utenti. Da parte nostra, possiamo fare una piccola cosa: controllare le impostazioni della privacy di WhatsApp. Andiamo in Impostazioni > Privacy e assicuriamoci che la foto del profilo, l'info e lo stato siano visibili solo ai "Miei contatti" e non a "Tutti". È un piccolo gesto, ma un passo in più per proteggere la nostra identità digitale. Insomma, niente panico, ma un po' di sana attenzione in più non guasta mai.
