Se avete cambiato il vostro numero di telefono e non avete cancellato l’account WhatsApp ad esso associato, uno sconosciuto potrebbe ricevere i vostri messaggi privati ed essere in grado di inviare messaggi a tutti i vostri contatti.
Si tratta di una grave violazione della privacy per Whatsapp. Una grave situazione emersa solamente di recente, potrebbe segnare uno spartiacque storico sulla fiducia che gli utenti concedono oggi con grande facilità alle compagnie che gestiscono app di messaggistica.
La falla di sicurezza deriva dall’abitudine dei gestori di reti wireless di offrire ai nuovi clienti i numeri di telefono dei vecchi clienti per riciclarli.
WhatsApp sostiene che, sebbene sia estremamente improbabile, di tanto in tanto accade.
La falla di sicurezza di Whatsapp causata dai numeri di telefono “riciclati”
Un rappresentante di WhatsApp ha dichiarato a The Register che l’azienda “prende diverse precauzioni per evitare che i consumatori ricevano messaggi non richiesti, tra cui la chiusura degli account dopo un periodo di inattività prolungato”. “La cosa più semplice da fare è spostare l’account a un altro numero di telefono. Oppure cancellarlo all’interno dell’app se per qualsiasi motivo non si vuole più usare WhatsApp collegato a un certo numero di telefono”.
Il rappresentante ha dichiarato:
“In tutte le circostanze, consigliamo vivamente agli utenti di utilizzare la verifica in due passaggi per una maggiore sicurezza”.
Questi livelli aggiuntivi “aiutano a mantenere gli account al sicuro nelle rarissime occasioni in cui i provider di telefonia mobile rivendono immediatamente le linee telefoniche più velocemente del normale”.
Non si tratta di un problema diffuso, almeno non ancora. Ma è comunque un problema di privacy dei dati e un avvertimento per gli utenti di qualsiasi servizio di messaggistica che si basa molto sui numeri di cellulare per l’identificazione degli utenti. Inoltre, il rappresentante di WhatsApp ha ragione quando parla di autenticazione a due fattori (2FA), che dovrebbe essere utilizzata da tutti.
Ecco cosa è successo.
In Svizzera, Ugo utilizzava WhatsApp da tempo e il suo account era collegato al suo numero di telefono locale. A ottobre si è trasferito a Parigi per lavoro e ha acquistato una nuova carta SIM e un numero di telefono francese. Ha continuato a usare WhatsApp per tutto questo tempo, inviando e ricevendo messaggi come al solito. Senza rendersi conto del cambiamento del suo numero di telefono.
La situazione può rivelarsi critica
Le cose hanno iniziato a peggiorare verso la fine del mese, quando ha cambiato il suo numero di telefono su WhatsApp. Secondo l’utente Eric, è successo quanto segue:
“Il suo telefono è stato presto inondato da tutti i gruppi di uno sconosciuto e ha iniziato a ricevere tutti i nuovi messaggi, sia individuali che di gruppo. informazioni che erano destinati a quella persona. La foto dell’altra persona è stata sostituita a quella del suo profilo. Va notato che la maggior parte dei messaggi provenienti da questa persona sembravano essere in italiano. L’utente ha cercato di rispondere a queste persone e gruppi dichiarando di non essere la persona giusta. Ma ha lasciato molto perplessi gli altri perché sembrava essere la persona che credevano.”
Eric ha segnalato il problema a WhatsApp e alla sua società madre Meta, ed è stato informato che non si tratta di un difetto esclusivo di WhatsApp. Ma piuttosto di un problema di numeri di telefono riciclati. Il personale di sicurezza lo ha informato: “Per esempio, se un numero ha un nuovo proprietario e lo usa per accedere a Facebook, potrebbe causare un reset della password di Facebook”. L’individuo che ora possiede quel telefono potrebbe rilevare l’account se è ancora collegato all’account Facebook dell’utente.
Sebbene Meta abbia riconosciuto che “si tratta di una preoccupazione”, ha informato Eric che non si trattava di un bug per il programma bug bounty. Nell’e-mail si leggeva che “Facebook non ha il controllo sui gestori delle telecomunicazioni che riemettono i numeri di telefono. Oppure sul fatto che le persone abbiano un numero di telefono collegato al loro account Facebook che non è registrato a loro nome”.