“Sventata la più grande fuga di dati della storia su WhatsApp”: così una falla della piattaforma ha rischiato di mettere a rischio 3,5 miliardi di numeri di telefono (e di foto) privati

La facilità con cui WhatsApp consente di individuare nuovi contatti ha avuto un ruolo centrale nella vicenda analizzata dai ricercatori dell’Università di Vienna, che hanno verificato come il semplice controllo dei numeri in rubrica permetta di ottenere dati su scala globale. Il meccanismo, applicato in modo sistematico, ha infatti consentito al team di elencare 3,5 miliardi di numeri associati alla piattaforma, accedendo in molti casi alle foto profilo e alle informazioni pubbliche. Gli studiosi hanno spiegato che, attraverso la versione web dell’app, sono riusciti a controllare circa 100 milioni di numeri all’ora senza incontrare blocchi significativi.

Nel loro report hanno scritto che la falla avrebbe rappresentato “la più grande fuga di dati della storia” e che, per quanto noto, si è trattato “della più estesa esposizione di numeri di telefono e dati correlati mai documentata”, come afferma Aljosha Judmayer. Max Günther ha aggiunto: “Se noi siamo riusciti a recuperare questi dati con estrema facilità, altri avrebbero potuto fare lo stesso”. Il team ha dichiarato di aver avvisato Meta ad aprile ed eliminato la copia dei dati, mentre l’azienda ha introdotto solo a ottobre nuove limitazioni di frequenza. In una dichiarazione a Wired, Meta ha definito le informazioni coinvolte “informazioni pubbliche di base”, sostenendo che i dati non risultavano visibili agli utenti che avevano impostato la privacy su valori più restrittivi. Nitin Gupta ha affermato: “Non abbiamo trovato alcuna prova che attori malevoli abbiano sfruttato questa vulnerabilità. Nessun dato non pubblico è stato accessibile ai ricercatori”.

Secondo il team, però, durante la raccolta dei numeri non è comparsa alcuna “difesa” e il problema risulta noto dal 2017, quando Loran Kloeze aveva mostrato la stessa possibilità, osservando: “Adesso sì che fa paura, vero?”. I ricercatori hanno analizzato la visibilità dei dati paese per paese: negli Stati Uniti il 44% mostrava la foto profilo e il 33% un testo Info; in India le foto pubbliche raggiungevano il 62%, in Brasile il 61%. Un ulteriore risultato riguarda le chiavi crittografiche duplicate. Alcuni account utilizzavano chiavi identiche e 20 numeri statunitensi presentavano chiavi composte interamente da zeri. Judmayer ha sintetizzato così il problema strutturale: “I numeri di telefono non sono stati progettati come identificatori segreti, eppure è così che vengono utilizzati nella pratica”.

L'articolo “Sventata la più grande fuga di dati della storia su WhatsApp”: così una falla della piattaforma ha rischiato di mettere a rischio 3,5 miliardi di numeri di telefono (e di foto) privati proviene da Il Fatto Quotidiano.