Un bug di sicurezza in WhatsApp ha esposto i numeri di telefono di oltre 3,5 miliardi di utenti a livello globale, in quella che i ricercatori definiscono potenzialmente "la più grande fuga di dati della storia". La gravità della situazione è amplificata dal fatto che Meta, società proprietaria della piattaforma di messaging, era stata allertata della vulnerabilità già nel 2017, ma ha impiegato otto anni prima di implementare contromisure efficaci. L'exploit, definito dai ricercatori "semplicistico" nella sua esecuzione, ha sfruttato l'assenza di rate limiting nelle query di verifica dei contatti, una protezione basilare che qualsiasi infrastruttura di questo tipo dovrebbe implementare di default.
La vulnerabilità risiede nel meccanismo stesso che rende WhatsApp così facile da usare: la funzione di ricerca contatti che verifica istantaneamente se un numero di telefono è registrato sul servizio, spesso mostrando anche foto profilo e nome utente. Un ricercatore indipendente aveva già individuato nel 2017 l'assenza di limitazioni sul numero di query eseguibili, segnalando esplicitamente a Meta il rischio di enumerazione massiva del database utenti. Nonostante l'allerta, nessuna misura di protezione è stata adottata per quasi un decennio.
Il team di ricercatori dell'Università di Vienna guidato da Aljosha Judmayer ha dimostrato l'efficacia dell'attacco estraendo 30 milioni di numeri telefonici statunitensi in soli 30 minuti, per poi estendere l'operazione su scala globale. La tecnica utilizzata è nota come enumeration attack: attraverso richieste automatizzate al server WhatsApp, è possibile verificare sistematicamente ogni possibile combinazione numerica per identificare quali numeri sono attivi sulla piattaforma. L'assenza di throttling o di sistemi CAPTCHA ha permesso di eseguire miliardi di query senza interruzioni.
La mancanza di rate limiting rappresenta una negligenza tecnica difficile da giustificare per un'infrastruttura che gestisce oltre due miliardi di utenti attivi. Implementare soglie sulle richieste API è una pratica standard nella sicurezza delle applicazioni moderne, spesso combinata con challenge-response systems, token buckets o algoritmi di leaky bucket per distinguere traffico legittimo da pattern automatizzati. Meta avrebbe potuto implementare controlli basati su IP, device fingerprinting o analisi comportamentale per identificare attività sospette.
I ricercatori austriaci, seguendo il protocollo di responsible disclosure, hanno cancellato l'intero database estratto e notificato Meta della vulnerabilità. L'azienda di Menlo Park ha impiegato ulteriori sei mesi per implementare misure di protezione, dichiarando di essere già al lavoro sul problema e affermando di non aver rilevato evidenze di sfruttamento malevolo. Tuttavia, l'assenza di prova non costituisce prova di assenza: threat actor con risorse adeguate potrebbero aver eseguito operazioni simili senza lasciare tracce rilevabili.
Le implicazioni per la privacy degli utenti europei sono particolarmente rilevanti considerando il GDPR, che impone obblighi stringenti sulla protezione dei dati personali. Un numero di telefono costituisce dato personale identificabile, e la sua esposizione massiva potrebbe configurare violazioni degli articoli 5 e 32 del regolamento. Meta potrebbe teoricamente affrontare sanzioni fino al 4% del fatturato globale annuale, anche se storicamente le autorità europee hanno mostrato maggiore indulgenza con vulnerabilità tecniche rispetto a pratiche commerciali discutibili.
Il database estratto non si limitava ai soli numeri: includeva anche foto profilo e informazioni di status, elementi che combinati permettono attacchi di social engineering sofisticati, campagne di phishing mirate e operazioni di OSINT (Open Source Intelligence). Per criminali informatici e attori statali, un dataset di questa portata rappresenta una risorsa inestimabile per campagne di disinformazione, sorveglianza di massa o preparazione di attacchi di spear phishing ad alta precisione.
La comunità della sicurezza informatica ha reagito con forte critica alla gestione dell'incidente da parte di Meta. Otto anni di inerzia dopo una segnalazione esplicita sollevano interrogativi sulla prioritizzazione della sicurezza rispetto allo user experience frictionless che caratterizza WhatsApp. L'implementazione di rate limiting introduce latenza e complessità, ma rappresenta un compromesso necessario quando la scala del servizio raggiunge dimensioni planetarie e l'impatto potenziale di una breach diventa sistemico.
