Brecha no Whatsapp expõe 3,5 bilhões de números, fotos e perfis
Empresa diz que foi alertada por pesquisadores em outubro e já corrigiu falha.
Um grupo de pesquisadores da Universidade de Viena revelou uma das maiores exposições de dados já documentadas em um serviço digital: a obtenção de números de telefone e informações públicas de 3,5 bilhões de usuários do WhatsApp por meio de um mecanismo simples da própria plataforma. O método explorou o sistema de descoberta de contatos do aplicativo, que permite verificar automaticamente se um número está cadastrado no serviço, recurso que, repetido bilhões de vezes, abriu caminho para mapear praticamente toda sua base global.
Segundo os pesquisadores, para 57% desses números foi possível acessar também a foto de perfil, e para outros 29%, o texto associado à conta. A equipe descreve o resultado como algo que seria “o maior vazamento de dados da história, não fosse parte de um estudo conduzido de forma responsável”.
A falha explorada não era inédita. Pesquisadores já haviam alertado sobre o risco de enumeração de números desde 2017. Ainda assim, até este ano, o WhatsApp não havia implementado limitações capazes de impedir consultas em larga escala, especialmente na versão web do aplicativo. Os austríacos conseguiram verificar cerca de 100 milhões de números por hora, sem bloqueios.
A Meta, dona do Whatsapp, afirma ter corrigido o problema em outubro, após receber o alerta em abril. A empresa agradeceu a contribuição e alegou que as informações expostas eram “dados básicos públicos”, uma vez que fotos e textos só são visíveis quando os usuários permitem. Também afirmou não haver evidências de uso malicioso da técnica e reforçou que as mensagens continuam protegidas pela criptografia de ponta a ponta.
Os pesquisadores contestam. Dizem que não encontraram qualquer mecanismo robusto para impedir a coleta e lembram que, mesmo que alguns campos fossem privados, o número de telefone estava totalmente exposto.
O estudo mostrou que a exposição variava conforme o país. Nos Estados Unidos, entre os 137 milhões de números coletados, 44% exibiam fotos de perfil e 33% tinham textos públicos. Já em mercados onde o WhatsApp é ainda mais dominante, como Índia e Brasil, a exposição era maior: na Índia, 62% tinham fotos públicas; no Brasil, 61%.
A pesquisa também identificou milhões de usuários ativos em países onde o WhatsApp é proibido. Foram encontrados 2,3 milhões de números da China e 1,6 milhão de Myanmar. Nesse contexto, governos poderiam ter usado a vulnerabilidade para identificar cidadãos que usam o aplicativo de forma ilegal, um risco especialmente crítico em países onde a repressão digital é forte.
Além dos números, os austríacos analisaram as chaves criptográficas públicas associadas às contas. Eles encontraram algo incomum: milhares de usuários compartilhavam chaves idênticas — um problema grave de segurança, já que chaves duplicadas poderiam permitir a descriptografia de mensagens destinadas a outros usuários.
Os pesquisadores suspeitam que as duplicações surgiram de clientes não oficiais do WhatsApp, frequentemente usados por golpistas e que podem implementar protocolos de criptografia de forma incorreta.
