By Paulinho Curti- em Cajamar NET
WhatsApp expôs dados de 206 milhões de brasileiros e 3,5 bilhões no mundo
Dados vazados são foto de perfil, número do telefone, chave pix dentre outros considerados "públicos" pela Meta
Um grupo de pesquisadores descobriu que o WhatsApp possui uma falha de segurança simples, porém massiva, que pode ter exposto 3,5 bilhões de números de telefone. O número corresponde, basicamente, ao total de usuários ativos na plataforma. Só no Brasil, são mais de 200 milhões de números cadastrados.
A descoberta foi feita por pesquisadores da Universidade de Viena e revelada pela Wired nesta terça-feira (18). A coleta de dados acontece no recurso de busca por números do próprio WhatsApp, criando a possibilidade de expor dados como nome, foto de perfil, recado, links e até Chave Pix, caso as informações estejam disponíveis de forma pública.
Esse recurso funciona assim: basta digitar um número de telefone válido no WhatsApp e o aplicativo vai exibir os detalhes do perfil. A pesquisa se apoiou na ferramenta para identificar e explorar, de forma responsável, a extração de informações pessoais de uma parcela gigantesca da população mundial.
Ao TecMundo, o WhatsApp informa que algumas dessas informações de um contato, por padrão, não são visíveis para todos os usuários da plataforma. Um exemplo é a chave Pix no perfil, que fica protegida para os contatos até que o usuário altere a exibição, assim como as publicações da aba status e os grupos.
A pesquisa não verificou a quantidade de chaves Pix disponíveis de forma pública em perfis do WhatsApp. Logo, a quantidade de chaves visíveis a outros usuários não reflete a quantidade de números verificados pelos pesquisadores em território brasileiro.
Com a simplicidade de exploração, os pesquisadores afirmam que foi possível verificar quase 100 milhões de números por hora.
Dos 3,5 bilhões de números extraídos, 57% tiveram fotos de perfil expostas e outros 29% exibiram o recado de perfil. O pesquisador Aljosha Judmayer diz que o caso “marca a exposição mais extensa de números de telefone e dados de usuários relacionados já documentada”.
O caso preocupa não só pela facilidade em que a função podia ser explorada para extrair dados de bilhões de pessoas, mas também pela massividade. A pesquisa "Panorama" de janeiro, do site Mobile Time, revelou que o WhatsApp é o aplicativo mais usado do Brasil.
Entre os países analisados pela pesquisa, o Brasil é um dos grandes destaques na coleta de dados: o número representa quase a totalidade da população.
Índia: 750 milhões de números;
Brasil: 206 milhões de números;
Estados Unidos: 137 milhões de números.
Os pesquisadores teriam identificado a possibilidade de acessar tais dados, inicialmente, em 2024. Eles descobriram que o WhatsApp não limitava a taxa com que um usuário poderia fazer esse tipo de extração. “Em meia hora, tínhamos cerca de 30 milhões de números baseados nos EUA”, disse um dos pesquisadores.
Com os dados em mãos, golpistas e scammers poderiam gerenciar um banco de dados e, com efetividade, ludibriar usuários da plataforma. Os pesquisadores reforçam que os números de telefone “não foram projetados para serem usados como identificadores secretos para contas”.
“Se você tem um grande serviço usado por mais de um terço da população mundial, e esse é o mecanismo de descoberta, isso é um problema”, apontou Aljosha Judmayer, pesquisador da Universidade de Viena.
Os pesquisadores alertaram a Meta sobre a descoberta e apagaram a cópia extraída com 3,5 bilhões de números de telefone. A Meta corrigiu os limites da função de descoberta em larga escala em outubro. Max Günther, outro pesquisador que participou do estudo, diz que se eles conseguiram obter tantos dados “com tanta facilidade, outros também poderiam ter feito o mesmo”.
Em nota, a Meta disse que os dados expostos consistem em “informações públicas básicas”. No entanto, desde dezembro de 2024, é possível compartilhar uma chave Pix com outros usuários diretamente do perfil. A função foi pensada no público brasileiro e é visível apenas para os contatos, a menos que o usuário opte por tornar o dado público.
Nitin Gupta, vice-presidente de engenharia do WhatsApp, disse que a pesquisa foi fundamental para definir um sistema anti-raspagem no serviço. Ele também afirma que não foram encontradas evidências “de agentes maliciosos” que exploraram a falha. Confira o posicionamento na íntegra a seguir:
"Somos gratos aos pesquisadores da Universidade de Viena pela parceria responsável e diligência no âmbito do nosso programa de Bug Bounty. Essa colaboração identificou com sucesso uma técnica de enumeração inédita que superou nossos limites previstos, permitindo que os pesquisadores coletassem informações básicas disponíveis publicamente. Já estávamos trabalhando em sistemas anti-scraping líderes do setor, e este estudo foi fundamental para testar e confirmar a eficácia imediata dessas novas defesas. É importante ressaltar que os pesquisadores já deletaram de forma segura os dados coletados como parte do estudo, e não encontramos evidências de que agentes mal-intencionados tenham explorado esse vetor. Como lembrete, as mensagens dos usuários permaneceram privadas e seguras graças à criptografia de ponta a ponta padrão do WhatsApp, e nenhum dado não público esteve acessível aos pesquisadores.” – Nitin Gupta, VP de Engenharia do WhatsApp.
Em 2017, um outro pesquisador, Loran Kloeza, apontou que o uso de números de telefone já podia tornar públicos dados pessoais do WhatsApp. A plataforma vem trabalhando para utilizar números de usuário, como os já utilizados no Instagram, para identificar os perfis. A mudança deve acontecer em 2026.
Reportagem com informações do Portal TecMundo.
