Moda e Tendenze, ogni martedì
Iscriviti e ricevi le notizie via email
Una falla di Whatsapp ha esposto al mondo intero, senza protezione, 3,5 miliardi di numeri di telefono. La scoperta è stata fatta da un gruppo di ricercatori dell’Università di Vienna e del centro di ricerca austriaco sulla sicurezza informatica SBA Research che, dopo aver sfruttato il «buco» del sistema, ha notificato l’accaduto a Meta. L’azienda, che produce anche Facebook, Instagram e Threads, ha minimizzato l’accaduto, ma in realtà il problema non è così piccolo: ci mette davanti alla verità per cui la nostra privacy sulle piattaforme web non è completamente al sicuro.
La reazione minimizzatrice di Meta
I ricercatori hanno distrutto tutti i dati estratti subito dopo aver avvertito l’azienda di
Mark Zuckerberg e hanno divulgato un documento di ricostruzione dell’accaduto, spiegando come hanno fatto a entrare così facilmente in possesso di questi dati sensibili.
Meta, però, ha sottolineato di non essere al corrente di fughe di dati con causa criminal hacker. Anche se non si dovesse trattare di una fuga di dati con matrice criminale, comunque dimostra che non c’è garanzia per la sicurezza dei dati online. Anche nel 2017 era accaduto qualcosa di simile, come aveva segnalato lo sviluppatore e ricercatore Loran Kloezema, e Meta aveva minimizzato anche in questo caso l’accaduto.
Come hanno fatto a trovare i numeri di telefono?
I ricercatori hanno utilizzato il sistema chiamato contact discovery, cioè il procedimento che consente di verificare se un numero di telefono è registrato su WhatsApp ogni volta che un utente salva un nuovo contatto nella rubrica del proprio dispositivo. Si tratta di una funzione lecita che, pur non configurando una vera vulnerabilità, potrebbe essere gestita in modo più efficace da Meta. Automatizzando questo controllo, i ricercatori sono riusciti a generare decine di miliardi di numeri di telefono e a controllare quali fossero attivi su WhatsApp. Sfruttando una debolezza di tipo enumerativo, il team è riuscito a costruire un elenco globale degli account WhatsApp attivi in tutti i Paesi, ricavando tutti i numeri raggiungibili tramite l’app.
I dati rubati
La cosa che potrebbe spaventare di più è che in questo modo i ricercatori non sono riusciti soltanto ad estrapolare i 3,5 miliardi numeri di telefono, ma anche 2 miliardi di foto profilo e 1,2 miliardi di stati personali. Inoltre sono entrati in possesso di metadati che indicano quali sono i sistemi operativi degli utenti, l’uso di dispositivi complementari (ossia se si utilizza WhatsApp Web) e la data in cui gli account sono stati registrati. Tutte informazioni sensibili, che dovrebbero essere oggetto di tutela della privacy, rappresentano un vero e proprio censimento globale, a cui avrebbe potuto accedere un qualsiasi hacker particolarmente «smanettone», che non si sarebbe fatto lo scrupolo di cancellare i dati subito dopo averli estratti. Anche perchè ciò apre a vari rischi potenziali, tra cui spam telefonico e campagne di phishing.
Il caso Cina
Un caso particolarmente interessante riguarda i dati estratti dalla Cina. Nello studio si legge anche che i ricercatori hanno identificato 2,3 milioni di numeri di telefono di utenti cinesi, che erano attivi a dicembre 2021, quando è stata fatta l’estrazione. Il fatto è molto interessante, dato che in Cina l’utilizzo di WhatsApp è vietato dal governo autoritario, che potrebbe sfruttare questa falla del sistema per mappare tutti gli account «illegali».
Meta, dopo la segnalazione, ha introdotto un rate limit che sarebbe in grado di limitare ulteriori danni in futuro, ma intanto i dati dei 3.5 miliardi di utenti sono stati per anni alla mercè di tutti.
© RIPRODUZIONE RISERVATA
