Un team di ricercatori austriaci ha scoperto una vulnerabilità eccezionalmente estesa in WhatsApp, che consente agli aggressori di raccogliere i numeri di telefono associati a tutti gli account attivi, circa 3,5 miliardi di profili. Lo studio, riportato da cablatoLo studio dimostra che in alcuni casi è possibile recuperare anche immagini e testo del profilo. La vulnerabilità si basa su una funzionalità molto semplice: la ricerca dei numeri di telefono. Poiché l'applicazione non limitava il numero di query consentite, era sufficiente interrogare il database tutte le volte necessarie per recuperare gli account corrispondenti. I ricercatori spiegano di aver raccolto trenta milioni di numeri di telefono americani in mezz'ora e quasi cinquantaquattro milioni per la Francia. Sottolineano che i malintenzionati avrebbero potuto sfruttare questa mancanza di protezione per creare un database globale, aprendo la strada a massicce campagne di phishing, furto di identità e molestie. Secondo loro, l'incidente avrebbe potuto trasformarsi nella "più grande violazione di dati della storia" se l'operazione fosse stata condotta da criminali informatici.
Il team afferma di aver eliminato tutti i dati raccolti dopo aver avvisato Meta
WhatsApp ha confermato di aver corretto la vulnerabilità e rafforzato i propri sistemi anti-scraping. Il Vicepresidente dell'Ingegneria ha dichiarato che gli strumenti di rilevamento e blocco sono stati immediatamente migliorati, anche grazie ai test condotti nell'ambito di questo studio. La falla evidenzia la necessità per le piattaforme di messaggistica di imporre limiti rigorosi alle richieste automatiche. Serve inoltre a ricordare agli utenti l'importanza di modificare le impostazioni sulla privacy per limitare la visibilità delle informazioni del proprio profilo ai soli contatti approvati.
