Allarme mondiale su WhatsApp: ecco il bug che ha messo a rischio 3,5 miliardi di utenti

Una vulnerabilità critica nella privacy di WhatsApp ha messo a rischio i dati di circa 3,5 miliardi di utenti.

Secondo lo studio condotto dagli esperti austriaci, è stato possibile sfruttare un software automatizzato per inserire in modo massivo numeri di telefono casuali nella rubrica di WhatsApp, ottenendo così l’accesso ai contatti associati. Nel corso di poche ore, il team è riuscito a raccogliere i numeri di telefono di 3,5 miliardi di account attivi, con un impatto che interessa anche l’Italia, con oltre 55 milioni di utenti coinvolti.

La tecnica si basava su una scarsa o inesistente limitazione del tasso di richieste inviate a WhatsApp, consentendo una vera e propria scansione globale degli utenti. Nel 57% dei casi, i ricercatori hanno potuto visualizzare le foto profilo, mentre nel 29% hanno avuto accesso agli aggiornamenti di stato. Questi dati, seppur definiti da Meta come “informazioni di base disponibili al pubblico”, comprendono spesso dettagli sensibili: immagini facilmente riconoscibili di persone reali e testi di stato contenenti riferimenti a ideologie politiche, orientamenti sessuali, credenze religiose e persino dichiarazioni sull’uso di sostanze stupefacenti.

La situazione ha assunto toni ancora più preoccupanti se si considera che alcuni di questi dati riguardano utenti di Paesi dove l’accesso a WhatsApp è ufficialmente vietato o limitato, come la Corea del Nord, l’Iran (dove l’app è stata bandita a giugno 2025) e la Cina. Ciò evidenzia come la piattaforma possa essere utilizzata anche per monitorare o rintracciare dissidenti nei regimi oppressivi.

L’intervento di Meta e la storia della vulnerabilità

Dopo la segnalazione del problema tramite il sistema di bug bounty di Meta — programma che premia chi individua vulnerabilità nei sistemi — l’azienda ha introdotto a ottobre 2025 restrizioni più severe per limitare l’enumerazione automatizzata dei contatti, bloccando in modo efficace le attività di scraping che avevano permesso la raccolta massiva dei dati.

Non si tratta però di una novità assoluta: già nel 2017 un ricercatore olandese, Loran Kloeze, aveva avvertito Meta della possibilità di automatizzare l’aggiunta di contatti, segnalando che si potevano inserire fino a cento milioni di numeri all’ora. A quei tempi la denuncia era stata sottovalutata e la falla non era stata sanata, lasciando il sistema vulnerabile per anni.

Il vicepresidente dell’ingegneria di WhatsApp, Nitin Gupta, ha dichiarato che non sono emerse prove di abusi malevoli di questi dati e ha sottolineato che i messaggi rimangono protetti dalla crittografia end-to-end, garantendo la sicurezza delle conversazioni private degli utenti.

Oltre alle questioni legate alla privacy degli utenti, Meta si trova sotto la lente d’ingrandimento per un altro aspetto controverso: la gestione e il guadagno derivante dagli annunci pubblicitari truffaldini sulle sue piattaforme, tra cui WhatsApp, Facebook e Instagram. Un’indagine di Reuters ha rivelato che nel 2024 il 10% del fatturato di Meta, pari a circa 16 miliardi di dollari, sarebbe stato generato da inserzioni pubblicitarie fraudolente o vietate, tra cui truffe finanziarie, estorsioni e prodotti illegali.

Gli algoritmi di Meta escludono solo le campagne pubblicitarie con una probabilità superiore al 95% di essere truffe, lasciando così un ampio margine per inserzioni ingannevoli che continuano a raggiungere miliardi di utenti ogni giorno. Inoltre, le inserzioni fraudolente tendono a ripetersi per gli stessi utenti, grazie alla personalizzazione degli annunci basata sugli interessi e sul comportamento online.

La società ha dichiarato di aver ridotto del 58% le segnalazioni di annunci truffaldini negli ultimi 18 mesi e di aver rimosso oltre 134 milioni di contenuti pubblicitari nel 2025. Tuttavia, secondo le fonti interne consultate da Reuters, solo il 4% delle segnalazioni degli utenti viene preso in considerazione, mentre la maggioranza è ignorata o respinta.

L'articolo Allarme mondiale su WhatsApp: ecco il bug che ha messo a rischio 3,5 miliardi di utenti proviene da Blitz quotidiano.