Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 19 Novembre 2025 12:11
La portata della fuga di notizie, descritta da un team dell’Università di Vienna, dimostra quanto possa essere pericolosa la familiare funzione di ricerca contatti delle app di messaggistica più diffuse.
WhatsApp ha sempre enfatizzato la facilità di aggiunta di nuove persone: basta inserire un numero di telefono nella propria rubrica e il servizio rivela immediatamente se la persona è registrata sull’app, rivelandone nome, foto e profilo parziale. Tuttavia, questa semplicità è diventata la base per una delle più grandi raccolte di dati utente della storia, e tutto ciò è avvenuto senza hackeraggi o aggirando barriere tecniche.
Ricercatori austriaci hanno deciso di testare se la ricerca automatizzata di numeri di telefono potesse rivelare esattamente chi stava usando WhatsApp. Hanno avviato il processo e, nel giro di poche ore, è diventato chiaro che non c’erano praticamente limiti. Il servizio consentiva un numero illimitato di richieste tramite la versione web e, di conseguenza, il team è stato in grado di creare un database di 3,5 miliardi di numeri, raccogliendo essenzialmente informazioni su ogni utente WhatsApp del pianeta. Per quasi il 57% dei record, sono stati in grado di ottenere foto del profilo e per quasi un terzo, stati testuali, che molte persone usano come breve presentazione di sé.
 CALL FOR SPONSOR - Sponsorizza la Graphic Novel Betti-RHC Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Secondo gli stessi ricercatori, questa sarebbe stata la più grande fuga di dati di numeri di telefono ed elementi di profili pubblici mai registrata se i dati non fossero stati raccolti esclusivamente per scopi accademici. Hanno segnalato la scoperta in primavera e cancellato l’intero set di dati, ma il sistema è rimasto completamente vulnerabile fino a ottobre, il che significa che un’operazione simile avrebbe potuto essere eseguita da chiunque, dagli spammer alle agenzie governative che monitorano le attività indesiderate sui propri cittadini.
Nonostante le rassicurazioni di Meta sull’implementazione di misure di sicurezza sempre più efficaci contro la raccolta massiva di dati, il team di Vienna afferma di non aver effettivamente riscontrato alcuna limitazione. Hanno sottolineato che WhatsApp aveva segnalato un problema simile già nel 2017: il ricercatore olandese Laurent Kloese aveva descritto un sistema per la verifica massiva dei numeri e aveva dimostrato che poteva raccogliere non solo le informazioni del profilo, ma anche il tempo trascorso online. Anche allora, l’azienda aveva affermato che tutto funzionava nel rispetto delle impostazioni di privacy standard .
Confrontando i risultati attuali con quelli di otto anni fa, si nota quanto sia aumentato il rischio. Mentre in precedenza c’erano decine di milioni di record potenzialmente accessibili, ora più di un terzo della popolazione mondiale utilizza il servizio e il numero stesso ha da tempo cessato di essere casuale. I ricercatori sottolineano che un numero di telefono non può fungere da identificatore segreto: gli intervalli di numeri sono limitati, il che significa che gli attacchi brute-force sono sempre possibili, a meno che non vi siano limiti rigorosi al numero di richieste.
Il team ha anche studiato le caratteristiche dei profili per Paese. Negli Stati Uniti, dei 137 milioni di numeri raccolti, il 44% degli utenti aveva foto pubbliche, mentre circa un terzo aveva stati testuali. In India, dove WhatsApp è significativamente più utilizzato, il 62% dei profili su 750 milioni era pubblico. In Brasile, la cifra era quasi la stessa: il 61% su 206 milioni. Più il servizio è popolare, meno persone modificano le proprie impostazioni sulla privacy e più ampia è la cerchia di coloro che rendono pubbliche le proprie immagini e descrizioni.
Di particolare preoccupazione è stata la scoperta di milioni di numeri di telefono in Paesi in cui WhatsApp è ufficialmente bloccato. I ricercatori hanno trovato 2,3 milioni di tali record in Cina e 1,6 milioni in Myanmar. Queste informazioni consentono alle autorità locali di rintracciare le persone che aggirano i divieti e, in alcuni casi, di utilizzarle come base per un’azione penale. Ci sono segnalazioni di persone detenute in Cina semplicemente per aver utilizzato l’app.
Durante l’analisi delle chiavi utilizzate nel protocollo di crittografia end-to-end per recuperare i messaggi, il team ha notato un’altra anomalia: un numero significativo di valori duplicati. Alcune chiavi sono state utilizzate centinaia di volte e circa due dozzine di numeri di telefono americani erano associati a una chiave nulla. I ricercatori sospettano che si tratti di client WhatsApp di terze parti non ufficiali, utilizzati attivamente da gruppi di truffatori. Ciò è indicato anche dal comportamento di alcuni account con chiavi duplicate: sembravano chiaramente strumenti per frodi o messaggi di massa.
RedazioneCloudflare ha registrato un’interruzione significativa nella mattina del 5 dicembre 2025, quando alle 08:47 UTC una parte della propria infrastruttura ha iniziato a generare errori interni. L’inci...
Una campagna sempre più aggressiva, che punta direttamente alle infrastrutture di accesso remoto, ha spinto gli autori delle minacce a tentare di sfruttare attivamente le vulnerabilità dei portali V...
Dietro molte delle applicazioni e servizi digitali che diamo per scontati ogni giorno si cela un gigante silenzioso: FreeBSD. Conosciuto soprattutto dagli addetti ai lavori, questo sistema operativo U...
Molto spesso parliamo su questo sito del fatto che la finestra tra la pubblicazione di un exploit e l’avvio di attacchi attivi si sta riducendo drasticamente. Per questo motivo diventa sempre più f...
Dal 1° luglio, Cloudflare ha bloccato 416 miliardi di richieste da parte di bot di intelligenza artificiale che tentavano di estrarre contenuti dai siti web dei suoi clienti. Secondo Matthew Prince, ...
