Uma vulnerabilidade simples, mas de escala gigantesca, permitiu que praticamente todos os 3,5 bilhões de números de telefone ativos no WhatsApp fossem associados a dados pessoais dos usuários, incluindo foto de perfil, status, recado, links compartilhados, participação em grupos e, em alguns casos, até a chave Pix. No Brasil, onde o aplicativo é o mais popular do país, com 206 milhões de contas ativas, a quase totalidade dos usuários teve informações acessíveis a quem soubesse explorar a falha.
O problema foi identificado por pesquisadores da Universidade de Viena e divulgado nesta terça-feira (18) pela revista Wired. A brecha estava no próprio mecanismo de busca por número de telefone do WhatsApp: ao digitar um número válido, o aplicativo imediatamente mostrava todos os dados que o usuário deixava públicos. Sem qualquer limite de consultas (rate limit), era possível automatizar o processo e coletar informações em massa. Os cientistas estimaram uma velocidade de quase 100 milhões de números verificados por hora.
Entre os 3,5 bilhões de registros obtidos de forma responsável antes do conserto, 57% das contas exibiam foto de perfil e 29% mostravam o recado ou status. “Trata-se da maior exposição já documentada de números de telefone e metadados associados a eles”, afirmou o pesquisador Aljosha Judmayer.
O Brasil aparece em segundo lugar no ranking mundial de contas afetadas, atrás apenas da Índia (750 milhões) e à frente dos Estados Unidos (137 milhões). Como o WhatsApp é o aplicativo mais instalado e usado pelos brasileiros, segundo a pesquisa Panorama, do Mobile Time, a vulnerabilidade atingiu proporção quase nacional.
Os pesquisadores descobriram o problema ainda em 2024 e, em testes iniciais, conseguiram reunir cerca de 30 milhões de números americanos em apenas meia hora. Depois de notificar a Meta, a empresa-mãe do WhatsApp implementou limites de consulta em outubro e reforçou mecanismos anti-raspagem.Em comunicado, a Meta classificou os dados acessados como “informações públicas básicas” e afirmou não ter encontrado evidências de exploração maliciosa em larga escala até o momento. Nitin Gupta, vice-presidente de engenharia do WhatsApp, reconheceu que o relatório dos pesquisadores foi essencial para aprimorar as defesas do serviço.
Os cientistas, porém, alertam: a ausência de limite prévio tornava a coleta trivial. “Se nós conseguimos fazer isso com tanta facilidade, outros certamente também poderiam ter feito”, disse Max Günther, um dos autores do estudo, que apagou o banco de dados completo após a correção da falha. Eles reforçam ainda que números de telefone nunca deveriam ser tratados como identificadores secretos de contas, exatamente pelo risco de exposição em massa como a que ocorreu.
