Lo studio portato avanti da un gruppo di lavoro dell'Università di Vienna e di SBA Research rivela una grave falla nel sistema di protezione della privacy di WhatsApp, a causa della quale sarebbero stati violati ben 3,5 miliardi di account in tutto il mondo. Secondo i ricercatori, che parlano della più grande fuga di dati della storia, i cybercriminali non avrebbero avuto bisogno di forzare server né tantomeno di utilizzare dei trojan, ma si sarebbero semplicemente serviti di una funzionalità già disponibile sull'app di messaggistica istantanea.
Stando a quanto precisato da Wired Usa, a essere sfruttata è stata la funzione di aggiunta dei contatti attraverso l'interfaccia web di WhatsApp, ovvero la "contact discovery", con la quale si autorizza l'app ad accedere alla rubrica per controllare quali numeri di telefono sono registrati. Utilizzando un software per automatizzare questo controllo, inviando circa 100 milioni di query all'ora, il team di ricerca ha ottenuto i numeri di telefono associati a 3,5 miliardi di utenze attive in 245 Stati, recuperando le foto del profilo nel 57% di essi e gli aggiornamenti di stato nel 29% del totale.
In realtà sono state recuperate anche delle chiavi pubbliche di crittografia, fortunatamente non sufficienti per decifrare i messaggi privati, e anche delle informazioni relative alle abitudini di utilizzo dell'app da parte degli utenti, per cui i dati acquisibili a causa della vulnerabilità sono stati potenzialmente molto ampi.
I risultati del lavoro dei ricercatori, che si è svolto tra dicembre 2024 e aprile 2025, sono stati resi noti solo dopo la risoluzione del problema da parte di Meta, che ha introdotto dei nuovi e più solidi paletti con l'obiettivo di tutelare al meglio la privacy degli utenti. Dei 3,5 miliardi di profili violati, 55.606.677 sono italiani: l'Italia, 15esimo nella classifica mondiale, risulta lo Stato europeo con più account WhatsApp.
"Per quanto ne sappiamo, si tratta della più ampia esposizione di numeri di telefono e dati utente correlati mai documentata", ha dichiarato il ricercatore Aljosha Judmayer a Wired Usa. Meta, dal canto suo, ha cercato invece di minimizzare l'impatto della falla, descrivendo i dati recuperati come "informazioni di base disponibili al pubblico", essendo essi visibili nell'applicazione stessa se l'account risulta tra i contatti.
"Non abbiamo trovato prove di malintenzionati che abusassero di queste informazioni", spiega a Wired Usa il vicepresidente dell'ingegneria di
WhatsApp Nitin Gupta, "ricordiamo che i messaggi degli utenti sono rimasti privati e sicuri grazie alla crittografia end-to-end predefinita di WhatsApp e nessun dato non pubblico è stato accessibile ai ricercatori".