In gergo si chiama bug bounty program: un sistema ormai diffuso tra le grandi aziende tecnologiche che offre ricompense economiche a chi scopre vulnerabilità nei sistemi digitali. Più il rischio è elevato, più le taglie aumentano. Apple, ad esempio, lo scorso ottobre ha annunciato ricompense fino a 2 milioni di dollari per i bug più critici, una cifra ben diversa dai 200.000 dollari previsti al lancio del programma nel 2016.
Nelle ultime ore, la versione statunitense di Wired ha rivelato l’esistenza di una falla particolarmente insidiosa all’interno di questi programmi, un bug capace di mettere a rischio praticamente tutti i numeri di telefono presenti su WhatsApp. Il meccanismo alla base è sorprendentemente semplice: se replicato su larga scala, permette di scaricare quasi l’intero database dei numeri registrati sull’app.
La vulnerabilità è stata identificata da un gruppo di ricercatori dell’Università di Vienna, che ha pubblicato la documentazione tecnica completa su GitHub. Il problema nasce da una funzione ordinaria di WhatsApp, quella che consente di verificare se un numero telefonico è associato a un account. In molti casi, oltre alla conferma dell’iscrizione, l’app mostra anche la foto del profilo, il nome impostato dall’utente e la breve biografia.
Un utente normale effettua questa verifica solo per i numeri presenti in rubrica. I ricercatori hanno dimostrato invece che non esiste alcun limite al numero di richieste che è possibile inviare. Applicando un processo automatizzato e testando ogni possibile combinazione numerica, sono riusciti a ricostruire un archivio imponente: 3.456.622.387 numeri di telefono iscritti a WhatsApp. Nel loro studio spiegano che, se questa vulnerabilità fosse stata scoperta da gruppi criminali, avrebbe potuto provocare “la più grande fuga di dati della storia”. Oltre ai numeri di telefono, sono riusciti a recuperare anche altre informazioni pubbliche: nel 57 per cento dei casi la foto profilo e nel 29 per cento una breve biografia.
La notizia della falla è stata diffusa solo dopo che Meta ha corretto il problema. L’azienda, oltre ad aver eliminato la vulnerabilità, ha precisato che non risultano attacchi o attività sospette basate su questo bug. Un portavoce di Meta, citato da 9To5Mac, ha ringraziato il team dell’Università di Vienna per il contributo fornito all’interno del programma Bug Bounty, riconoscendo che la tecnica individuata era effettivamente in grado di superare i limiti previsti e di estrarre informazioni di base rese pubbliche dagli utenti.