Una vulnerabilità sconosciuta e sfruttata su larga scala ha messo in allarme il mondo digitale, dopo che un gruppo di ricerca dell’Università di Vienna e di SBA Research ha rivelato l’esistenza di una falla capace di esporre 3,5 miliardi di account WhatsApp. Secondo gli studiosi, si tratterebbe di «la più grande fuga di dati mai registrata», un caso senza precedenti che non avrebbe richiesto né attacchi ai server né l’uso di malware sofisticati. A essere utilizzata, infatti, sarebbe stata una funzione già integrata nell’app.
La funzione “contact discovery” usata come porta d’accesso
Come spiegato da Wired USA, i ricercatori hanno individuato l’abuso della funzione di aggiunta contatti tramite interfaccia web, la cosiddetta contact discovery, che consente all’app di verificare quali numeri nella rubrica siano registrati su WhatsApp. Sfruttando questa caratteristica e automatizzando il processo, il team è riuscito a inviare circa 100 milioni di interrogazioni l’ora, ricavando i numeri telefonici associati a miliardi di utenze in 245 Paesi.
Gli esperti non si sono fermati ai numeri: nel 57% dei casi sono state recuperate anche le foto profilo, mentre nel 29%sono stati estratti gli aggiornamenti di stato. In alcuni casi sono emerse perfino le chiavi pubbliche di crittografia, sebbene non siano sufficienti a decifrare i messaggi privati. A ciò si aggiungono informazioni relative alle abitudini d’uso dell’app, delineando un quadro di accessi potenzialmente molto più vasto di quanto immaginato.
Un problema risolto, ma solo dopo mesi di esposizione
Lo studio, condotto tra dicembre 2024 e aprile 2025, è stato reso pubblico solo dopo che Meta ha introdotto correttivi e nuove limitazioni per impedire ulteriori abusi della contact discovery. L’intervento dell’azienda è arrivato dunque in seguito alla segnalazione dei ricercatori, che intanto avevano completato la mappatura della fuga di dati.
Tra i 3,5 miliardi di account coinvolti, spicca un dato che riguarda da vicino il nostro Paese: 55.606.677 profili italianirisultano esposti, rendendo l’Italia il 15° Paese al mondo e il primo in Europa per numero di account colpiti.
La posizione dei ricercatori e la difesa di Meta
«Per quanto ne sappiamo, si tratta della più ampia esposizione di numeri di telefono e dati utente correlati mai documentata», ha dichiarato il ricercatore Aljosha Judmayer, sottolineando la gravità del fenomeno. Meta, dal canto suo, ha provato a ridimensionare l’allarme definendo quanto sottratto come «informazioni di base pubblicamente disponibili», dal momento che foto e stati risultano visibili a chi è presente tra i contatti.
Una posizione che tuttavia non ha convinto gli esperti di sicurezza, per i quali la possibilità di raccogliere tali dati su scala industriale rappresenta un rischio significativo per la privacy globale.
