· casi-reali · protezione-dati

3,5 miliardi di account WhatsApp esposti. Facciamo chiarezza.

3,5 miliardi di account WhatsApp esposti

WhatsApp è l’app di messaggistica più usata al mondo. Ed è proprio questa ubiquità a trasformare ogni sua fragilità strutturale in un rischio globale. Una ricerca accademica presentata alla NDSS ha mostrato che, sfruttando il normale meccanismo di “scoperta contatti”, è stato possibile enumerare gli utenti WhatsApp su scala planetaria, costruendo un dataset da oltre 3,5 miliardi di account attivi.

Il punto non è “rompere” la cifratura end-to-end: quella protegge i contenuti. Il problema è che l’architettura di contact discovery (necessaria per dirti se un numero usa WhatsApp) rende possibile, se abusata, capire chi è presente sulla piattaforma e raccogliere metadati associati.

Nota importante: gli autori evidenziano che, dopo la disclosure, Meta ha avviato un processo di remediation e che l’assenza di rate-limit osservata durante lo studio è stata successivamente corretta.
Quindi: il rischio è stato reale e sfruttabile nel periodo di misurazione; oggi parte delle contromisure risulta migliorata, ma la lezione di governance resta pienamente valida.

Cosa hanno fatto i ricercatori (senza tecnicismi inutili)

In pratica hanno:

  1. Generato numeri plausibili per 245 paesi, riducendo lo spazio a circa 63,17 miliardi di numeri candidati.
  2. Usato client non ufficiali basati su reverse engineering per interrogare gli endpoint XMPP di WhatsApp, in modo più diretto rispetto all’app standard.
  3. Verificato a velocità altissima se ogni numero fosse registrato, arrivando a migliaia di query al secondo per sessione e oltre 100 milioni di numeri/ora senza blocchi efficaci nel periodo di test.
  4. Raccolto un dataset finale di 3.546.479.731 account (numeri unici).

Per ciascun account, quando le impostazioni privacy lo permettevano, erano recuperabili anche metadati come:

  • foto profilo e about/status,
  • informazioni di tipo business,
  • dispositivi associati e materiale crittografico pubblico E2EE.

I numeri che contano davvero

Dallo “snapshot” globale emerge che:

  • oltre il 56–57% degli utenti ha una foto profilo pubblica, con differenze regionali.
  • almeno il 29% ha un about pubblico (in Italia e altri paesi europei spesso >45%).
  • circa il 9% degli account è marcato come Business.
  • chi usa WhatsApp Business espone sempre pubblicamente nome verificato e altri campi opzionali (sito, descrizione, a volte posizione).

Tradotto: tantissimi profili forniscono already-there informazioni utili per attacchi mirati o profilazioni.

Perché è un problema reale, anche per le PMI italiane

Enumerare numeri WhatsApp significa costruire liste di persone certamente raggiungibili su un canale personale, con metadati che aiutano a renderle “bersagli credibili”. Non serve sapere cosa scrivi: basta sapere che esisti, chi sei e come agganciarti.

Impatti pratici:

  1. Phishing e truffe più efficaci
    Una lista di soli numeri “vivi” è oro per smishing e social engineering. La ricerca sottolinea proprio l’uso di liste di numeri attivi come base affidabile per spam e phishing.
  2. Doxxing e profilazione
    Gli about pubblici spesso contengono email, link social, info personali o lavorative. Gli autori trovano molti casi in cui gli utenti si auto-espongono così, aumentando rischio di correlazione identitaria.
  3. Targeting di ruoli sensibili
    Se un IT manager o un titolare ha foto/ about pubblici, un attaccante può ricostruire più facilmente identità, relazioni e contesto lavorativo e usarli per CEO-fraud o finti fornitori.
  4. WhatsApp come canale “ombra” aziendale
    In Italia WhatsApp è lavoro quotidiano: clienti, ordini, assistenza, HR. Ma spesso senza:
    • policy chiare,
    • separazione numeri personali/aziendali,
    • regole di gestione gruppi e archivi.

Il risultato è una superficie d’attacco grande e non governata.

WhatsApp Business: utile sì, ma attenzione al rovescio della medaglia

Il paper mostra che l’uso dell’app Business:

  • è facile da attivare (nessuna barriera reale),
  • aumenta la quantità di metadati pubblici,
  • rende più semplice collegare un numero a un’azienda.

Per molte PMI questo significa più visibilità commerciale… ma anche più esposizione se il numero finisce in dump o viene preso di mira.

Cosa dovrebbe fare subito un’azienda (check operativo)

Misure rapide e ad altissimo ROI:

  1. Policy WhatsApp aziendale
    Definire cosa si può trattare (e cosa no), chi può usare canali personali, quando usare numeri di servizio.
  2. Privacy setting per ruoli chiave
    Foto profilo e about su “solo contatti”.
    Niente email/ruoli/azienda in chiaro negli status.
  3. Numeri separati per funzioni di business
    Customer care / vendite / operations con SIM e account dedicati, non personali.
  4. Formazione anti-phishing “WhatsApp-first”
    Riconoscere impersonificazione, truffe da numeri simili, richieste urgenti fuori processo.
  5. Monitoraggio dell’esposizione
    Verificare se numeri aziendali o di dirigenti compaiono in leak noti, e avere un playbook di risposta.

Dove entra CyberQuake

Questo rischio è a metà tra cyber e compliance: serve governance, non solo tool.

CyberQuake ti supporta su 4 livelli:

  1. Risk assessment su canali di messaggistica
    Mappiamo come WhatsApp viene davvero usato nei processi e che dati transitano.
  2. Policy, GDPR/NIS2/DORA e responsabilità interne
    Regole chiare, pratiche e aderenti ai tuoi flussi reali.
  3. Formazione e simulazioni mirate
    Attacchi realistici via WhatsApp (finto CEO, finto fornitore, finto HR).
  4. Incident response
    Se parte una campagna mirata o un numero aziendale viene compromesso, interveniamo su contenimento, analisi e comunicazione.

Conclusione

La cifratura end-to-end non basta se i metadati restano aggregabili. La ricerca dimostra che sapere chi è su WhatsApp e cosa espone pubblicamente è stato, fino a poco fa, ottenibile su scala immensa.

Per le PMI italiane il messaggio è semplice:
se WhatsApp è un canale di lavoro, va governato come un asset aziendale.

Contattaci per un check rapido del tuo scenario: in pochi giorni ti diciamo quali esposizioni concrete hai e cosa mettere in sicurezza per primo.

METTITI IN CONTATTO

Fonte (GitHub): https://github.com/sbaresearch/whatsapp-census

// incident response

Sotto attacco? Agisci ora.

Il CSIRT risponde 24/7: contenimento, analisi e ripristino, a partire dalla prima chiamata.

sono_stato_hackerato

csirt 24/7 --> +39 376 25 89 182