Il bug di WhatsApp, privacy a rischio per 3,5 miliardi di numeri

Un gruppo di ricercatori dell’Università di Vienna ha individuato una vulnerabilità nel sistema di ricerca dei contatti di WhatsApp. Una falla capace di rivelare i numeri di telefono di 3,5 miliardi di utenti, quasi la metà della popolazione mondiale. La scoperta ha riguardato un meccanismo fondamentale del servizio: quello con cui l’app verifica se i numeri presenti nella rubrica dell’utente sono registrati su WhatsApp. Il team ha reso pubblica la ricerca soltanto dopo l’intervento di Meta, che ha introdotto misure correttive per chiudere la vulnerabilità. L’episodio, oltre a riaccendere il dibattito sulla sicurezza digitale, offre uno spunto per osservare più da vicino un settore in forte espansione: il mercato del bug tracking, che nel 2024 ha superato i 400 milioni di dollari e che negli anni a venire potrebbe crescere in maniera significativa. È un mondo che non riguarda solo grandi aziende e ricercatori esperti, ma anche giovani talenti che, individuando vulnerabilità critiche, riescono a costruire carriere e guadagni sorprendenti.

Perché era così pericoloso

La vulnerabilità scoperta dai ricercatori riguardava la funzione di “contact discovery”, cioè il processo che consente a WhatsApp di verificare quali numeri presenti nella rubrica utilizzino la piattaforma. Questo meccanismo, già di per sé complesso, può diventare un punto d’ingresso per attività di scraping su larga scala quando non viene correttamente limitato. Gli studiosi dell’Università di Vienna hanno dimostrato che, sfruttando l’interfaccia web e automatizzando l’invio di numeri da verificare, era possibile interrogare i server di WhatsApp con un ritmo elevatissimo. Il sistema rispondeva senza imporre blocchi significativi, permettendo di controllare centinaia di milioni di numeri all’ora. In poche ore è stato possibile mappare più di 3,5 miliardi di account attivi, ottenere i numeri associati e, nei casi in cui le impostazioni fossero pubbliche, anche le foto del profilo e gli aggiornamenti di stato. Da queste informazioni, seppur limitate, è stato poi possibile dedurre altri dettagli come il sistema operativo utilizzato o la data di registrazione dell’account.
Non erano coinvolti i contenuti delle chat, che restano protetti dalla crittografia end-to-end, ma ciò non riduce la gravità del quadro.

La risposta di Meta

Il gruppo di ricerca ha seguito le procedure previste per la divulgazione responsabile. Una volta identificata la vulnerabilità, ha avvisato Meta per consentire all’azienda di intervenire tempestivamente. Meta ha introdotto limiti più severi alle richieste automatiche, ha rafforzato i controlli anti-scraping e ha ridotto la visibilità di alcune informazioni del profilo quando provenienti da fonti sospette. La falla è stata corretta a ottobre, prima della pubblicazione dello studio. In una dichiarazione a Wired, Meta ha sottolineato che i dati esposti erano comunque informazioni già pubbliche per chi avesse i numeri degli utenti nella propria rubrica e ha ribadito che non ci sono prove di sfruttamento malevolo della vulnerabilità. L’azienda ha inoltre confermato che i ricercatori hanno eliminato tutti i dati raccolti e che la protezione dei messaggi non è mai stata compromessa.

Quando trovare un bug diventa un lavoro (molto) redditizio

Mentre il caso di WhatsApp porta alla ribalta il tema della sicurezza digitale, ricordiamo che la caccia ai bug non è un’attività amatoriale per appassionati di informatica, ma un settore economico ricco e strutturato. 

Secondo un rapporto di IMARC Group, il mercato globale del software per il bug tracking è stato valutato 401 milioni di dollari nel 2024 e potrebbe raggiungere oltre 820 milioni entro il 2033, con una crescita media annua vicina all’8%. Il motivo è semplice: più i sistemi diventano complessi, più aumentano i punti deboli e la necessità di individuarli rapidamente.

A questa dimensione industriale si affianca un’altra realtà, ancora più concreta per i singoli ricercatori: i programmi di bug bounty, ovvero le ricompense che le aziende pagano a chi segnala vulnerabilità nei loro prodotti. Per una singola scoperta critica, Meta può arrivare a offrire centinaia di migliaia di dollari. Apple supera spesso il milione. Google paga somme altrettanto elevate. Non è raro trovare giovani di vent’anni che hanno già guadagnato cifre da capogiro semplicemente trovando e documentando vulnerabilità nel modo giusto.

Accanto a questo percorso etico e riconosciuto, ne esiste uno molto più scivoloso e rischioso: la vendita dei bug zero-day sul mercato nero o a società private che li utilizzano per operazioni criminali.