Una ricerca mostra che per mesi WhatsApp ha permesso di raggiungere 3,5 miliardi di numeri e profili pubblici.
Ci siamo abituati a pensare che WhatsApp sia quasi un rifugio sicuro, che l’end-to-end basti da solo a metterci al riparo dai pericoli. Iniziamo con una buona notizia: i messaggi restano protetti – questo non cambia e nessuno lo mette in dubbio. Ma il perimetro attorno alle chat — le informazioni “di contorno”, quelle che di solito non prendiamo nemmeno in considerazione — non è sempre così inattaccabile.
Una nuova ricerca dell’Università di Vienna lo ha mostrato in modo piuttosto netto.
Per diversi mesi è stato possibile costruire un elenco globale di 3,5 miliardi di numeri associati a WhatsApp, provenienti da 245 Paesi. In molti casi comparivano anche foto profilo, le frasi usate nel campo info nelle impostazioni e persino le chiavi pubbliche usate dal sistema di cifratura. Non stiamo parlando di messaggi privati, ma vedere tutto raccolto e catalogato con questa facilità fa comunque riflettere (e in qualche forma preoccupare).
Il punto debole di WhatsApp? Una funzione normalissima
Il tutto nasce da qualcosa che usiamo ogni giorno: la ricerca dei contatti. Quando aggiungi un numero in rubrica, WhatsApp controlla se è registrato e, se sì, ti mostra una piccola parte del profilo, a seconda delle impostazioni di privacy dell’utente.
I ricercatori hanno preso questa logica normale e l’hanno scalata all’infinito.
Attraverso la versione web dell’app, hanno automatizzato il controllo di numeri generati in modo realistico, arrivando a verificare oltre 100 milioni di contatti all’ora, senza incontrare limiti veri. Un ritmo che, mese dopo mese, ha permesso di mappare l’intera piattaforma con una precisione mai vista.
La reazione di Meta (e cosa questo studio significa davvero)
Meta dice di essere stata informata del problema ad aprile 2025 e di aver introdotto nuove limitazioni tecniche a ottobre, bloccando la procedura usata nello studio. L’azienda insiste anche sul fatto che non risultano abusi documentati e che le informazioni accessibili erano comunque “di carattere pubblico”, visibili a chiunque avesse il numero della persona in questione.
È una spiegazione corretta, ma parziale.
Una cosa è vedere la foto profilo di qualcuno che hai appena aggiunto; un’altra è immaginare un sistema capace di replicare questo gesto miliardi di volte, trasformando un’azione innocua in un’enorme operazione di rastrellamento dati.
Il dato che infatti colpisce davvero gli esperti è la scala di quanto accaduto.
Con un’azione di questo tipo, la creazione di un elenco con metodo industriale, diventa estremamente semplice preparare campagne di phishing mirate, rafforzare reti di spam globale o tenere d’occhio comunità di utenti in contesti delicati: la ricerca cita, ad esempio, Cina e Myanmar, dove WhatsApp è formalmente vietato ma comunque utilizzato da milioni di persone.
Qui non si parla di “hacker hollywoodiani”, ma di un comportamento banale, portato a un livello che nessuno si aspettava fosse possibile.
I messaggi restano sicuri, e questo studio non cambia nulla sulla percezione che abbiamo cifratura. La vicenda però mette in luce una zona grigia che tendiamo a ignorare: tutto ciò che esiste fuori dal contenuto delle chat. Foto profilo, info pubbliche, impostazioni lasciate lì da anni: dettagli che crediamo marginali fino a quando non diventano parte di un sistema enorme.
Forse è il momento di riaprire la sezione privacy e ricontrollare chi può vedere cosa.