I ricercatori austriaci di SBA Research sono stati in grado di creare un database con i dati appartenenti agli utenti WhatsApp, senza violare in alcun modo la piattaforma. Hanno utilizzato un metodo perfettamente legale, sfruttando una debolezza del servizio stesso. Il risultato è un mega leak in cui sono stati esposti di questa criticità avrebbe potuto essere un mega leak con 3,5 miliardi di numeri di telefono (sì, c’è anche il tuo), le foto profilo e altre informazioni personali. Spoiler: c’è il lieto fine.
Scraping per numeri e foto profilo di WhatsApp
Come è stato possibile? Semplicemente aggiungendo alla rubrica tutte le combinazioni possibili. È infatti sufficiente conoscere il numero di telefono di qualcuno per poterlo cercare e contattare attraverso l’applicazione. Ad esempio, per l’Italia, lo si potrebbe fare partendo da +39, aggiungendo i prefissi degli operatori come 339 o 340, poi facendo ogni tentativo con la parte rimanente.
Forzando questa dinamica è stato possibile controllare l’esistenza di un milione di numeri ogni ora, attraverso la web app di WhatsApp. Meta, già avvisata del problema nel 2017 da un altro ricercatore, in passato non ha mai introdotto alcun limite o restrizione per evitare abusi.
Come anticipato, per il 57% circa dei numeri verificati è stato possibile ottenere anche la foto profilo. Per il 26%, invece, un testo descrittivo. Sulla base di queste informazioni, un malintenzionato potrebbe attuare campagne di phishing mirate. Maggiori dettagli sono riportati su GitHub.
Meta ha risolto il problema
La buona notizia è che il mega leak… non esiste. O meglio, non esiste più. SBA Research afferma di averlo eliminato, dopo aver avvisato Meta di quanto scoperto nel mese di aprile. La notizia è trapelata solo ora, per concedere alla società il tempo di intervenire: in ottobre ha introdotto una restrizione sul numero di richieste che è possibile inviare per controllare se a un numero è associato un account. Questo il commento di Nitin Gupta, vice president of engineering di WhatsApp.
Avevamo già lavorato su sistemi anti-screaping leader del settore e questo studio è stato determinante come stress test e per confermare l’efficacia immediata di queste nuove difese.
Non è comunque da escludere che qualcuno abbia utilizzato questa particolare tecnica di scraping con finalità diverse dalla ricerca. Prosegue Gupta.
Non abbiamo trovato prove di un abuso di questo metodo da parte di malintenzionati. Ricordiamo che i messaggi degli utenti sono rimasti privati e sicuri grazie alla crittografia end-to-end predefinita di WhatsApp e che nessun dato non pubblico è stato accessibile ai ricercatori.
È forse per questo che presto su WhatsApp sarà possibile utilizzare gli username ed evitare di condividere il numero di telefono?
Aggiornamento (19 novembre 2025)
Come richiesto da Meta, abbiamo aggiornato il titolo e il primo paragrafo dell’articolo per rendere ancora più chiaro che non c’è stato alcun leak di informazioni segrete o private.
Ti potrebbe interessare
18 nov 2025