L'immagine mostra un detective Hacker alla ricerca di un numero di telefono WhatsApp via OSINT.

OSINT WhatsAPP: Come tracciare informazioni di un utente

di Cristian Galloin Guide Hackingon Pubblicato il

Nel mondo dell’ethical hacking e dell’intelligence open source (OSINT), WhatsApp rappresenta una miniera di informazioni potenzialmente utili per indagini digitali. Uno strumento che ha attirato l’attenzione è WhatsAppCheckLeaked.cc, un servizio che consente di verificare se un numero di telefono è stato compromesso in violazioni di dati e di estrarre metadati pubblici associati a profili WhatsApp.

Cos’è WhatsappCheckLeaked.cc e come funziona?

WhatsAppCheckLeaked.cc è una piattaforma OSINT che consente di:

  • Verificare se un numero è presente in database trapelati.
  • Visualizzare informazioni pubbliche associate a profili WhatsApp (immagine profilo, stato, nome visualizzato).
  • Identificare se il numero è legato a un account Business.
  • Accedere a un database globale utile per attività di marketing o investigazione

Approccio Etico all’OSINT su WhatsApp:

Un ethical hacker non cerca di violare la privacy, ma di analizzare dati pubblici per scopi legittimi come:

  • Verifica dell’identità: incrociare immagini profilo con altri social (LinkedIn, Instagram) per confermare l’identità.
  • Analisi comportamentale: osservare gli orari di “ultimo accesso” per dedurre abitudini o fusi orari.
  • Ricerca di gruppi pubblici: tramite Google Dorks è possibile trovare link d’invito a gruppi WhatsApp, utili per mappare reti sociali o professionali.
  • Reverse image search: le immagini profilo possono essere tracciate su altri siti per ricavare ulteriori informazioni personali.

Come utilizzarlo:

Per utilizzarlo occorre andare sul sito Whatsapp.CheckLeaked.cc inserire nel campo di ricerca del numero di telefono il numero a cui vogliamo effettuare la ricerca OSINT e a questo punto da quel numero possiamo ottenere diverse informazioni tra cui se è un numero WhatsApp Business oppure se è un numero Privato. Nel mio caso ho sfruttato il numero WhatsApp dell’azienda Ho-Mobile.

Attenzione se il numero di telefono è pubblico senza un blocco della Privacy si può avere accesso anche alla foto di profilo della persona o azienda trovata.

Cosa ha fatto operativamente sul numero?

In pratica, la sequenza tipica è questa:

  1. Normalizzazione del numero:
    • Il numero inserito viene convertito in formato E.164 (per l’Italia, prefisso +39).
    • Obiettivo: garantire che le query siano coerenti e valide.
  2. Verifica dell’esistenza su WhatsApp:
    • Il sistema controlla se quel numero è associato a un account WhatsApp, potenzialmente distinguendo tra account standard e Business.
    • Esito visibile: nel tuo caso, il profilo appare come entità “ho. Mobile”, quindi è un profilo business verificabile.
  3. Raccolta dei dati pubblici:
    • Recupera i metadati esposti pubblicamente: nome visualizzato, descrizione/about, se è Business, categorie, eventuali prodotti/catalogo, e indicatori come “È un’Azienda?” o “È un’Impresa?”.
    • Nel tuo screenshot/descrizione: vedi “È un’Azienda? Sì” e “È un’Impresa? No”, più la descrizione del brand e riferimenti a sito/Instagram.
  4. Gestione della cache:
    • Se il profilo è già stato analizzato di recente, il servizio può restituire dati da cache per ridurre latenza e richieste ripetute.
    • Nel tuo caso: la UI mostra “Cache: No”, quindi la risposta è stata probabilmente aggiornata in tempo reale o fuori cache.
  5. Output strutturato:
    • Oltre alla UI, il sistema espone un documento JSON con i campi chiave, pronto per essere usato in analisi, automazioni o correlazioni.
  6. Sincronizzazione:
    • Registra una “Ultima sincronizzazione” per sapere quanto sono freschi i dati.

Informazioni ottenute:

Ecco i dati raccolti dal file JSON, elencati uno sotto l’altro in formato testuale:

  • ID: identificativo interno del record (campo _id)
  • Nome profilo: ho. Mobile
  • Descrizione (About): “Dal 2018, noi di ho. Mobile lavoriamo ogni giorno per offrire il meglio ai nostri clienti: tanti Giga, minuti e SMS illimitati, zero costi extra e un’app facilissima da usare. Ti aspettiamo sul nostro sito, e anche su Instagram!”
  • È un’Azienda?:
  • È un’Impresa?: No
  • Numero di telefono: +39 379 222 0618
  • Numero pubblico:
  • Profilo Business:
  • Categorie: (non specificate nel frammento visibile)
  • Prodotti/catalogo: (non specificati nel frammento visibile)
  • Ultima sincronizzazione: (data non visibile nello screenshot)
  • Cache: No (quindi dati aggiornati in tempo reale)
  • Fonte dati (dataSource): WhatsApp Business API / directory pubblica (dedotto dal contesto)

Considerazioni Legali e Morali

L’uso di strumenti OSINT deve sempre rispettare:

  • Le normative sulla privacy (GDPR in Europa).
  • Il principio del consenso implicito: si analizzano solo dati resi pubblici volontariamente.
  • Finalità lecite: investigazioni aziendali, analisi reputazionale, cybersecurity.

Ulteriori informazioni:

WhatsAppCheckLeaked.cc è uno strumento potente per chi opera nel campo dell’OSINT, ma va usato con responsabilità. L’ethical hacker non è un voyeur digitale, ma un analista che protegge, verifica e previene. In un mondo dove i dati sono ovunque, la vera abilità è saperli leggere senza oltrepassare il confine dell’etica.

Lascia un commento