Pesquisadores da Universidade de Viena revelaram que o WhatsApp manteve, por anos, uma vulnerabilidade que permitia descobrir números de celular de qualquer usuário do aplicativo. A falha estava no sistema de busca utilizado para abrir conversas com pessoas que não estão na lista de contatos, recurso essencial para o funcionamento do mensageiro.
Segundo o estudo, a ausência de limites nessa ferramenta permitiu que os especialistas coletassem, em massa, números correspondentes a 3,5 bilhões de contas — bem acima dos 2 bilhões divulgados como base oficial do WhatsApp. Além das linhas telefônicas, também foi possível identificar fotos e frases de perfil de grande parte dos usuários, embora as mensagens continuem protegidas pela criptografia.
Leia: Trabalhadores de TI aprovam pauta do Sindpd para a Campanha Salarial 2026!
Como os dados foram coletados
Os pesquisadores utilizaram a técnica de enumeração, que testa sequências de números para encontrar contas ativas — prática também conhecida como scraping. Eles relataram ter conseguido realizar cerca de 7 mil buscas por segundo sem sofrer qualquer bloqueio, indicando que o aplicativo não contava com um sistema eficaz de contenção contra esse tipo de consulta.
Antes da publicação do trabalho, todo o material coletado foi apagado pela equipe. O estudo destaca que, apesar da expectativa de que a plataforma bloqueasse o processo, nem o servidor utilizado, nem as contas envolvidas sofreram restrições.
Um “Censo do WhatsApp”
Com o volume de dados obtido, os pesquisadores montaram uma espécie de panorama global de usuários, reunindo informações por país, tipo de aparelho e presença de fotos de perfil. O levantamento indica que o Brasil possui 206 milhões de contas ativas, ficando atrás apenas da Índia (749 milhões) e da Indonésia (235 milhões).
O estudo também registrou que 61% dos usuários brasileiros têm foto de perfil visível e que a grande maioria utiliza Android (81,4%), enquanto 18,6% estão no iPhone. Os pesquisadores alertam que, se caíssem nas mãos de criminosos, esses dados poderiam ser usados em campanhas de spam, golpes de phishing ou robocalls.
Como a brecha foi testada
Entre dezembro de 2024 e abril de 2025, os pesquisadores realizaram diversas rodadas de enumeração usando um software alternativo capaz de se conectar aos servidores do WhatsApp. Para definir o universo de possíveis números, recorreram a uma biblioteca do Google com padrões telefônicos de 245 países, o que gerou uma lista de 63 bilhões de combinações.
A análise considerou inclusive especificidades locais, como a mudança no padrão brasileiro que acrescentou o dígito 9 aos celulares — embora contas antigas ainda usem o formato anterior. Mesmo operando a partir de um único servidor, não houve qualquer limitação significativa imposta pelo aplicativo.
Reação do WhatsApp
Os pesquisadores comunicaram o problema à Meta, controladora do WhatsApp, ainda em setembro de 2024. Segundo o estudo, a empresa não ofereceu retorno efetivo até agosto de 2025. Somente quando foram informados de que o artigo seria publicado, em setembro de 2025, a empresa teria demonstrado maior atenção ao caso.
Após o alerta, o WhatsApp passou a restringir a quantidade de buscas por números e o acesso a fotos e frases de perfil de contatos desconhecidos. A empresa afirma que já desenvolvia sistemas anti-scraping e que o estudo ajudou a validar essas proteções.
Em nota assinada por Nitin Gupta, vice-presidente de Engenharia, o WhatsApp agradeceu a colaboração dos pesquisadores, disse não ter encontrado indícios de uso mal-intencionado da técnica e ressaltou que apenas informações públicas estavam acessíveis. O executivo reforçou que as mensagens sempre permaneceram protegidas pela criptografia de ponta a ponta.
(Com informações de g1)
(Foto: Reprodução/Freepik)
