🇬🇧 "On vacation until the 20th": how a simple WhatsApp note can wreck your privacy

In the ’80s, we were told that danger lived in phone booths and dark alleys. Today, it often lives in a detail you casually put into your WhatsApp profile. A note. A phrase. A date. An extra hint for anyone who knows how to read it.

With WhatsApp’s new Activity Notes — short lines that stay visible for 24 hours and become part of your profile — the app is opening up a new attack surface. Nothing “catastrophic” on its own, but everything becomes significant when you look at it through the lens of OSINT, social engineering and deception analysis.

 

Activity Notes: a new layer of personal metadata

The rollout of Activity Notes, presented as a more natural, lightweight way to share what you’re up to, has been announced on the official WhatsApp blog and covered by Social Media Today.

WhatsApp describes them as a quick way to say what you’re doing, what you’re listening to, where you’re busy, or to add a personal touch to your profile.

It sounds harmless. In fact, it sounds almost nostalgic, like the old MSN Messenger status lines (“Out for pizza”, “At school, don’t message me”). The problem is that we now live in a much more mature — and much more hostile — digital ecosystem.

These notes:

  • are visible on the profile, not just in ephemeral status updates
  • remain as additional information that can be monitored, tracked, and collected
  • are perfect for inference: timing, habits, behavioral patterns

In the age of OSINT, 24 hours is a very long time.

 

OSINT doesn’t care what you say, but what you reveal

Anyone who works with OSINT knows you don’t need massive leaks to reconstruct a person. You just need small hints dropped over time.

A simple example:

Note: “On vacation! Don’t disturb me until the 20th!”
Profile picture: straw hat, sunglasses
Bio: “Turin ❤️ the sea”.

From just those three details, an average analyst can derive:

  • a time window in which the house is likely empty
  • a plausible location: “sea” → cross-check other social media → two Instagram photos in a well-known Ligurian beach club
  • a rough socioeconomic level: type of trip, visible brands, location
  • a routine: if you go away the same week every year, that’s a pattern. And patterns are gold!

For a burglar, scammer, stalker or corporate adversary, that’s more than enough. And you don’t need to be a “hacker” — just observant.

 

Social engineering: the art of reading what people give away

Social engineering doesn’t live off passwords. It lives off context.

Here’s a completely realistic scenario:

  1. the user posts a note: “Out of office until the 20th”
  2. a scammer calls the user’s mother, pretending to be a colleague: “I know he’s on holiday, but we need some urgent documents while he’s away. He said I could stop by today…”

The vulnerability isn’t in the phone. It’s in the story you’ve unintentionally built around yourself.

Another very common OSINT + social engineering pattern:

  • Note: “Business trip to Berlin!”
  • Instagram post: photo at the airport
  • LinkedIn: “Speaking at conference X from the 12th to the 14th”

Result: anyone can estimate where you are, when you’ll be back, who you work with, and even your seniority and pay bracket, based on the type of event.

Individually, these are trivial pieces of data. Combined, they form an attack.

 

Deceptionism: when you think you’re saying nothing, you’re saying everything

Deception analysis focuses on the unintentional information people emit while they believe they’re not revealing anything important.

Activity Notes are basically a handbook of unintentional deception. Through:

  • the length of the note
  • the time of day you post
  • the tone (ironic, tired, anxious)
  • the emojis you choose
  • how often you update your notes
  • when you’re silent vs hyperactive online

A profiler can infer:

  • your circadian rhythm
  • your personality traits
  • your stress level
  • whether you’re usually alone or surrounded by people
  • even whether you’re going through financial or emotional trouble

There’s no magic here: it’s statistics + behaviour + continuous observation.

And if WhatsApp ever made these notes permanent or searchable? Then we’d have something very close to an Instagram Stories-like feed, but inside an app used for business, politics, relationships and sensitive conversations.

 

What does WhatsApp say?

WhatsApp insists on a few key points:

  • this is not a “technical” security risk
  • there is no hard evidence of large-scale scraping based on notes
  • the underlying privacy model remains unchanged

Technically, that’s correct. No one is claiming that WhatsApp is directly exposing critical metadata through Activity Notes. The real point is different: any information you voluntarily publish is, by definition, outside the app’s security model.

WhatsApp can protect your messages.
It cannot protect you from yourself.

 

Real-world examples: where OSINT thrives

Here are some common situations where notes and status updates become perfect input for OSINT and social engineering:

1 - Professional athletes

A note like “Brutal training this morning 💪” helps an observer understand:

  • where they are (gyms and training centres often appear on other social feeds and geotagged posts)
  • when they’re away from home
  • when they’re injured (sudden absence of notes and posts → likely physical issue)

2 - Managers and consultants

“Heading to Milan for a client meeting!” combined with LinkedIn can reveal:

  • who the client is
  • what kind of project is going on
  • which competitors are likely at the same event

3 - Influencers and streamers

Very frequent notes mean they’re online all the time. A sudden silence or break in posting can signal burnout, a break, or personal issues — perfect bait for scams and targeted phishing.

4 - Families

Synchronized notes between partners (“Weekend away!” + “Trip to the lake!”) basically advertise an empty house, predictable timing, and a stable routine. A dream for anyone targeting them offline.

 

In the end: the world is full of access points, and we build them

We live in a world where anything we publish can be turned into a weapon against us.

WhatsApp is not “the problem”. Instagram is not “the problem”. Social platforms are not inherently evil. The real issue is that we often give away, piece by piece, fragments of our lives that someone else can patiently glue together.

Activity Notes are just one more feature that adds an extra layer of behavioral tracking. If you want to use them, go ahead — but do it with the awareness that:

  • every piece of information is data
  • every data point is a clue
  • every clue is an access point
  • every access point is a vulnerability

Digital freedom today doesn’t mean “not using social media”. It means using them without giving away more than you have to.

And like it or not, that part is entirely up to us.

 

🇮🇹 "In vacanza fino al 20”: come una nota WhatsApp può rovinarti la vita

Negli anni ’80 ci insegnavano che il pericolo arrivava dalle cabine telefoniche e dai punk con il coltellino. Oggi, invece, arriva da un dettaglio messo nello stato di WhatsApp. Una nota. Una frase. Una data. Un indizio per chi sa leggerlo.

Con le nuove Activity Notes di WhatsApp — micro-frasi che restano visibili per 24 ore e diventano parte del profilo — si apre una nuova superficie di attacco. Nulla di “drammatico” in sé, ma tutto diventa significativo quando lo guardi con gli occhi dell’OSINT, della social engineering e della deception analysis.

 

Le Activity Notes: un nuovo strato di metadati personali

Il rollout delle Activity Notes, presentate come un modo “più naturale e leggero di condividere cosa stai facendo”, è stato annunciato nel blog ufficiale di WhatsApp e ripreso anche da Social Media Today.

WhatsApp le descrive come un modo veloce per dire cosa stai facendo, cosa ascolti, dove sei impegnato o per aggiungere un tocco personale al tuo profilo.

Detta così sembra innocuo. Anzi, sembra quasi un ritorno ai tempi degli stati di MSN Messenger (“Fuori a prendere una pizza”, “Sono a scuola, non scrivetemi”). Il problema è che oggi viviamo in un ecosistema digitale molto più maturo… e molto più pericoloso.

Queste note:

  • sono visibili nel profilo, non solo negli Status
  • restano come informazioni aggiuntive che possono essere monitorate, tracciate, collezionate
  • sono perfette per inferenze: tempi, abitudini, pattern comportamentali

Nell’epoca dell’OSINT, 24 ore sono un’eternità.

 

L’OSINT non guarda cosa dici, ma cosa riveli

Chi fa OSINT sa che non servono leak epici per ricostruire una persona. Servono piccoli indizi disseminati nel tempo.

Un esempio banale:

Nota: “In vacanza! Non disturbatemi fino al 20!”
Foto profilo: cappello di paglia, occhiali da sole.
Bio: “Torino ❤️ mare”.

Con tre dettagli del genere, un analista medio ricava:

  • finestra temporale in cui la casa è probabilmente vuota
  • localitĂ  plausibile: mare → controllo di altri social → due foto su Instagram in uno stabilimento ligure noto
  • livello socioeconomico stimato: tipo di viaggio, brand degli occhiali, localitĂ 
  • routine: se ogni anno vai via la stessa settimana, è un pattern. E i pattern sono oro.

Per un ladro, un truffatore, uno stalker o un competitor aziendale, è più che sufficiente. E non serve nemmeno essere “hacker”: basta essere attenti.

 

Social engineering: l’arte di leggere ciò che gli altri regalano

Il social engineering non vive di password, vive di contesto.

Scenario totalmente realistico:

  1. L’utente pubblica una nota: “Chiuso per ferie fino al 20”.
  2. Un truffatore chiama la madre dell’utente fingendosi un collega: “Lo so che è in ferie, ma servono dei documenti urgenti mentre lui è via. Ha detto che posso passare oggi…”

La vulnerabilitĂ  non sta nel telefono, ma nella narrazione che involontariamente hai costruito.

Altro scenario OSINT + social engineering, ancora piĂą comune:

  • Nota: “Andiamo a Berlino, Beppe!”
  • Post su Instagram: foto allo stesso aeroporto
  • LinkedIn: “Parteciperò al congresso Tal dei Tali dal 12 al 14”

Risultato: chiunque può stimare dove sei, quando rientri, con chi lavori e persino quanto guadagni, in base al tipo di evento e alla seniority.

Sono tasselli banali, ma concatenati diventano un attacco.

 

Deceptionism: quando pensi di non dire nulla, ma stai dicendo tutto

Il deceptionism è l’analisi delle informazioni involontarie prodotte da un soggetto mentre crede di non comunicare nulla di rilevante.

Le Activity Notes sono un manuale di deception involontaria. Attraverso:

  • la lunghezza della frase
  • l’orario in cui pubblichi
  • il tono (ironico, stanco, agitato)
  • le emoji scelte
  • la frequenza con cui aggiorni le note
  • gli orari di silenzio vs attivitĂ  online

chi profila psicologicamente una persona può dedurre:

  • i tuoi ritmi circadiani (strano, ma vero)
  • la tua personalitĂ  (che trova conferma dopo la lettura delle bio "solare ma incazzos*")
  • il tuo livello di stress
  • la presenza o assenza di persone attorno a te
  • perfino se stai affrontando un problema economico o sentimentale

Non è magia: è statistica + comportamento + osservazione costante.

E se WhatsApp un domani rendesse le note permanenti o ricercabili? Avremmo un altro feed tipo Instagram Stories, ma su un’app usata anche per lavoro, affari, politica, relazioni sentimentali.

 

Ma WhatsApp cosa dice?

WhatsApp insiste su alcuni punti chiave:

  • non si tratta di un rischio di sicurezza “tecnico”
  • non c’è evidenza di scraping massivo legato alle note
  • il modello di privacy di base resta invariato

Tecnicamente corretto. Nessuno sostiene che WhatsApp esponga direttamente metadati critici attraverso le note. Il punto è un altro: qualsiasi informazione che l’utente pubblica volontariamente è, per definizione, fuori dal modello di sicurezza dell’app.

WhatsApp può proteggere i tuoi messaggi. Non può proteggerti da te stesso.

 

Esempi concreti: dove l’OSINT pesca meglio

Qualche caso tipico in cui note e stati diventano perfetti per OSINT e social engineering:

1 - Atleti professionisti

Una nota tipo “Allenamento durissimo stamattina 💪” aiuta a capire:

  • dove si trovano (le palestre postano geotag, il resto lo fanno gli altri social)
  • quando non sono in casa (ricordate i furti ai calciatori durante le partite in trasferta?)
  • quando sono infortunati (stop improvviso di note e post → sospetto problema fisico)

2 - Manager e consulenti

“Parto per un meeting a Milano!” consente, incrociando con LinkedIn, di dedurre:

  • la societĂ  cliente
  • il tipo di progetto
  • le aziende competitor coinvolte nello stesso evento

3 - Influencer o streamer

Note molto frequenti indicano una presenza costante online. Note assenti o improvvisamente interrotte possono suggerire burnout, pausa, problemi personali: terreno perfetto per scam e phishing mirati.

4. Famiglie

Note sincronizzate tra partner (“Weekend fuori!” + “Gita al lago!”) indicano una casa vuota, orari prevedibili, routine stabile. Un sogno per chi vuole colpire offline.

 

Conclusione: il mondo è pieno di access point, e siamo noi a costruirli

Viviamo in un mondo in cui ogni cosa che pubblichiamo può diventare un’arma contro di noi.

WhatsApp non è “il problema”. Instagram non è “il problema”. I social non sono “cattivi” per natura. Il punto è che spesso siamo noi a regalare, un pezzo alla volta, brandelli di vita che qualcun altro può incollare insieme.

Le Activity Notes sono solo l’ennesimo strumento che aggiunge un livello di tracciamento comportamentale. Se vuoi usarle, usale pure, ma con la consapevolezza di chi sa che:

  • ogni informazione è un dato
  • ogni dato è un indizio
  • ogni indizio è un accesso
  • ogni accesso è una vulnerabilitĂ 

La libertà digitale oggi non significa “non usare i social”. Significa usarli senza regalare più del dovuto.

E questo, nel bene e nel male, dipende solo da noi.