Uma falha simples, porém de grande impacto, pode ter exposto informações pessoais de praticamente todos os usuários do WhatsApp. Pesquisadores da Universidade de Viena identificaram que o recurso de busca por números do aplicativo permitia a extração massiva de dados, incluindo nome, foto, recado, links, grupos e até a Chave Pix registrada no perfil. O problema teria afetado cerca de 3,5 bilhões de contas, número equivalente à base global de usuários ativos da plataforma.
A descoberta foi revelada pela revista Wired nesta terça-feira, 18. O estudo mostrou que o WhatsApp não limitava adequadamente a quantidade de consultas por número, o que tornava possível verificar quase 100 milhões de linhas telefônicas por hora. No Brasil, onde o aplicativo é o mais usado do país, mais de 206 milhões de números foram identificados como expostos.
Segundo os pesquisadores, 57 por cento dos perfis tiveram fotos exibidas e 29 por cento apresentaram o texto do recado. Para Aljosha Judmayer, um dos responsáveis pelo estudo, trata-se da maior exposição de números de telefone e dados associados já documentada.
A vulnerabilidade preocupa pela facilidade com que podia ser explorada e pelo volume gigantesco de usuários afetados. Dados levantados pela pesquisa Panorama, do site Mobile Time, mostram o tamanho da base comprometida. Índia, Brasil e Estados Unidos lideram a lista, com 750 milhões, 206 milhões e 137 milhões de números, respectivamente.
Os pesquisadores afirmaram ter identificado o problema ainda em 2024. Eles relataram à Meta que, em apenas 30 minutos de testes, conseguiram extrair cerca de 30 milhões de números dos Estados Unidos. O risco é que golpistas pudessem montar bancos de dados completos e utilizá-los para golpes direcionados, já que números de telefone não foram projetados para servir como identificadores sigilosos.
Após o alerta, a Meta corrigiu os limites de consulta em larga escala em outubro e reforçou mecanismos de bloqueio contra raspagem de dados. A empresa declarou que as informações acessadas eram públicas e já visíveis no aplicativo, mas a coleta em massa ampliava o risco de uso malicioso. Desde 2024, o próprio WhatsApp permite que usuários compartilhem a Chave Pix diretamente pelo perfil, o que elevou a gravidade da falha.
A companhia afirmou não ter encontrado evidências de exploração por agentes maliciosos. Contudo, pesquisadores lembram que situações semelhantes já foram registradas no passado. Em 2017, o especialista Loran Kloeza havia alertado que o uso de números de telefone como identificadores tornava dados pessoais acessíveis no aplicativo. A plataforma trabalha para adotar identificadores próprios, semelhantes ao sistema já usado no Instagram, com previsão de implementação em 2026.
Usuários podem reduzir a exposição ajustando as opções de privacidade no WhatsApp. Nas configurações da plataforma, é possível escolher quem pode visualizar foto, recado, informações pessoais e outros detalhes, definindo a exibição para todos, apenas contatos, contatos selecionados ou ninguém.
📡 Redação MundoTelebr – Tecnologia, Negócios e Conectividade
