Un silenzio digitale ha avvolto per mesi i server di WhatsApp (che non si sono opposti allo sfruttamento), un vuoto di sicurezza che ha permesso a un gruppo di ricerca dell’Università di Vienna di condurre quello che può essere definito un censimento globale dell’intera piattaforma. Tra dicembre 2024 e aprile 2025, i ricercatori hanno orchestrato una campagna di scraping di proporzioni inedite, raccogliendo senza ostacoli i dati di oltre 3,5 miliardi di account. L’episodio, presentato alla conferenza NDSS 2026, non è solo una nota a margine sulle vulnerabilità dei sistemi di contact discovery, ma un caso studio agghiacciante sulla fragilità di infrastrutture utilizzate da miliardi di persone.
Il metodo si è basato sullo sfruttamento sistematico e ad alta velocità di un’API pubblica di WhatsApp, la stessa che il client utilizza normalmente per verificare se un numero di telefono è registrato sul servizio. Attraverso un’operazione di reverse engineering, il team ha sviluppato uno strumento personalizzato, libphonegen, in grado di generare un dataset verosimile di 63 miliardi di numeri di telefono potenziali, coprendo 245 paesi. Il vero colpo di genio, o forse il dettaglio più inquietante, è stata l’efficienza dell’attacco. Utilizzando un client modificato di whatsmeow e solamente cinque account autenticati, hanno interrogato i server di Meta da un singolo server universitario, raggiungendo una velocità di picco di 100 milioni di numeri verificati all’ora, ovvero circa 7.000 al secondo, senza mai incorrere in meccanismi di throttling o blocchi.
I risultati di questa mappatura forzata vanno ben oltre una semplice lista di numeri. Il dataset finale includeva non solo gli identificativi telefonici, ma anche avatar pubblici, la stringa di testo dello stato “Info”, e, elemento critico, le chiavi di cifratura utilizzate per la crittografia end-to-end. L’analisi ha rivelato che a livello globale il 56,7% degli account aveva una foto profilo pubblica, con picchi che toccavano l’80% in alcune nazioni dell’Africa occidentale. Il 29,3% degli utenti esponeva uno stato testuale, un campo che in molti casi si è rivelato una miniera di informazioni personali, rivelando orientamenti politici, affiliazioni religiose e persino link ad altri profili social.
La scoperta più allarmante dal punto di vista della sicurezza, tuttavia, riguarda l’integrità stessa del protocollo di cifratura. I ricercatori hanno identificato circa 2,9 milioni di casi di riutilizzo di chiavi pubbliche, un’anomalia che mina i fondamenti della sicurezza end-to-end. In un esempio eclatante, venti numeri telefonici statunitensi condividevano una chiave composta esclusivamente da zeri, un chiaro indizio di un’implementazione crittografica difettosa o malevola, probabilmente riconducibile a client di terze parti non ufficiali.
Non si tratta di una vulnerabilità sconosciuta. La comunità accademica aveva già segnalato la debolezza intrinseca del meccanismo di contact discovery nel 2012 e nuovamente nel 2021. Ciò che distingue questo episodio è la scala industriale e la velocità con cui è stato possibile sfruttarla. Nonostante una segnalazione formale attraverso il programma Bug Bounty di Meta nell’aprile 2025, la risposta dell’azienda è arrivata solo a ottobre, con l’implementazione di limitazioni più stringenti. La posizione ufficiale di Meta è che i dati esfiltrati fossero già pubblicamente accessibili e che le comunicazioni private siano rimaste al sicuro grazie alla cifratura.
I ricercatori viennesi, tuttavia, la pensano in modo diametralmente opposto. La possibilità, ora dimostrata in pratica, di assemblare un database globale e aggiornato degli utenti, completo di impronte digitali crittografiche, rappresenta un rischio sistemico. Non è solo una questione di privacy violata, ma di sicurezza compromessa: questa mappa fornisce a potenziali attori malevoli un targeting estremamente preciso e le fondamenta per attacchi più sofisticati. Quel silenzio dai server di WhatsApp, durato mesi, ha parlato più forte di qualsiasi allarme, rivelando la sottile linea rossa che separa una funzionalità di convenienza da un vettore di sorveglianza di massa.