La vulnerabilità scoperta dai ricercatori dell’Università di Vienna è una di quelle notizie che ti fanno cadere le braccia, e perdere la fiducia nei servizi che usiamo ogni giorno senza pensarci troppo. WhatsApp è la piattaforma di messaggistica più diffusa al mondo: tre miliardi e mezzo di persone la usano quotidianamente per parlare con colleghi, amici e familiari. È ovunque e, proprio per questo, la responsabilità di proteggerla è enorme.
Come funzionava la falla
E invece, per anni, chiunque fosse in grado di scrivere un piccolo script poteva inserire numeri di telefono in sequenza e scoprire se fossero associati a un account WhatsApp, ottenendo anche nome e foto profilo. Una vera pesca a strascico di dati personali, resa possibile da un errore concettuale elementare: l’assenza di un meccanismo di “rate limiting”, cioè quel freno che dovrebbe bloccare richieste troppo rapide o troppo numerose. Ecco, qui non c’era.
Il risultato? 3,5 miliardi di numeri potenzialmente verificabili. Insomma, l’intera base utenti era teoricamente alla portata di chiunque volesse controllare i numeri in sequenza, poiché il sistema non imponeva alcun freno alle verifiche automatiche.
Un problema mai risolto dal 2017
Negli Stati Uniti un solo test ne ha raccolti 30 milioni in pochissimo tempo. Non parliamo di dati ipersensibili, ma di informazioni comunque sufficienti per lanciare campagne di phishing mirato, frodi via messaggio o processi di profilazione su larga scala. Un attaccante non ha bisogno di sapere tutta la tua vita: gli basta un appiglio credibile per costruire qualcosa che sembri legittimo. La parte stonata è che Meta fosse al corrente del problema sin dal 2017. Capita, certo: ogni piattaforma di grandi dimensioni convive con un flusso continuo di segnalazioni, bug, priorità che cambiano. Ma qui parliamo di una vulnerabilità basilare, che riguarda un servizio usato da metà della popolazione mondiale. Sei anni senza un rimedio adeguato significano che questo problema non è mai stato valutato in base al rischio reale che rappresentava. Non per cattiva fede: per una combinazione di complessità, sottovalutazione e, diciamolo, un po’ di inerzia strutturale.
Dobbiamo ormai prendere atto che l’utente rappresenta sempre l’anello debole. Una falla può essere chiusa e un bug può essere patchato, ma una persona che non è in grado di riconoscere una truffa resta vulnerabile, a prescindere dalla tecnologia. Ecco perché insistiamo con forza sul concetto di “assumere una corretta postura digitale”. Per noi di Cyber Guru non è un mero slogan.
Serve più “formazione” per gli utenti comuni
La maggior parte degli attacchi informatici non parte da un malware super sofisticato o da un exploit degno di un film: parte da un messaggio che sembra autentico, da un link che suscita fretta, da una richiesta che gioca sulla fiducia. Se un criminale ha accesso al tuo numero, al tuo nome e alla tua foto profilo, costruire una comunicazione credibile è un lavoro da cinque minuti. La tecnologia può ridurre la superficie d’attacco, ma non può eliminare il fattore umano.
