Pesquisadores da Universidade de Viena identificaram uma falha simples, mas de grande impacto, no sistema de busca por números do WhatsApp. A vulnerabilidade permitia consultar informações de perfil relacionadas a 3,5 bilhões de telefones – número equivalente a base completa de usuários do aplicativo. No Brasil, mais de 200 milhões de número ficaram potencialmente expostos.
A brecha foi tornada pública nesta terça-feira (18) e revelada após testes que mostraram a facilidade para coletar dados como nome, foto de perfil, recado, status, links e até chaves Pix, quando essas informações estavam configuradas como visíveis. Segundo os especialistas, a extração podia ser feita em alta velocidade: quase 100 milhões de números por hora foram verificados durante os experimentos.
O sistema utilizado para a pesquisa depende de um recurso nativo do WhatsApp. Ao digitar qualquer número válido, o aplicativo exibe dados associados ao perfil caso o usuário não tenha restrições de privacidade ativas.
Em resposta, o WhatsApp afirmou que parte dessas informações não aparece automaticamente para todos e depende das configurações de cada conta – como é o caso da chave Pix, visível apenas para contatos, a menos que o dono do perfil altere a permissão.
Exposição considerada “sem precedentes”
Dos 3,5 bilhões de números analisados, 57% apresentaram foto de perfil e 29% mostraram recados públicos.
Para o pesquisador Aljosha Judmayer, o volume exposto representa uma das maiores divulgações não intencionais já registradas envolvendo números de telefone e dados associados. Ele destaca que o problema está na falta de limitação da ferramenta: em 30 minutos, a equipe conseguiu extrair 30 milhões de números apenas dos Estados Unidos.
O caso preocupa pela escala e pela relevância do WhatsApp em países como o Brasil, onde o aplicativo é o mais utilizado. A quantidade de dados acessíveis é proporcional ao tamanho da base de usuários, o que coloca o país entre os mais impactados.
Com listas tão extensas, especialistas apontam que criminosos poderiam montar bancos de dados detalhados para aplicar golpes com maior precisão. Segundo os pesquisadores, números de telefone não deveriam funcionar como identificadores tão sensíveis em serviços desse porte.
Correção do problema
A Meta foi informada sobre a vulnerabilidade e reforçou que os dados expostos eram informações públicas, já visíveis para outros usuários dependendo da configuração de cada perfil. A empresa corrigiu o limite de consultas em massa em outubro, impedindo que a ferramenta fosse usada para raspagem automática como na pesquisa.
Os pesquisadores apagaram todo o material extraído após a conclusão do estudo. A Meta afirma que não há indícios de que agentes mal-intencionados tenham explorado a falha e que as mensagens dos usuários continuam protegidas por criptografia de ponta a ponta.
Nitin Gupta, vice-presidente de engenharia do WhatsApp, afirmou que o caso ajudou a aprimorar os sistemas de defesa contra raspagem de dados e destacou a colaboração com os pesquisadores.
Como proteger suas informações no WhatsApp
Usuários podem limitar a exposição de dados no WhatsApp nas configurações de privacidade. O caminho é:
- Abrir Configurações;
- Selecionar Privacidade;
- Escolher quem pode ver foto, recado, informações pessoais e chave Pix entre as opções: Todos, Meus contatos, Meus contatos exceto… ou Ninguém.
A Meta quer substituir, até 2026, o uso de números de telefone como identificador principal, permitindo que perfis funcionem com nomes de usuário em um sistema semelhante ao do Instagram.
(Com informações de Tecmundo)
(Foto: Reprodução/Freepik)
