Error de privacidad en WhatsApp expone más de 3.000 millones de cuentas
WhatsApp se transformou em uma parte essencial do nosso dia a dia digital. A Meta, que é a responsável por essa plataforma de mensagens, está sempre lançando atualizações de segurança para resolver problemas relacionados à privacidade e ao bom uso do aplicativo. Essa constante busca por melhorias é importante, mas, como sabemos, nenhum sistema é perfeito. Às vezes, algumas falhas acabam escapando ou passando despercebidas, deixando os usuários vulneráveis a cibercriminosos ou ao roubo de dados. Recentemente, um estudo da Universidade de Viena revelou que uma falha de segurança no WhatsApp ainda não foi corrigida.
O estudo que revelou a falha do WhatsApp
Pesquisadores da Universidade de Viena analisaram aproximadamente 3,5 bilhões de contas ativas do WhatsApp. Para isso, utilizaram uma técnica que explorava uma fraqueza no sistema de verificação de contatos da plataforma. Nesse levantamento, foram identificados cerca de 43 milhões de números argentinos, muitos deles com fotos de perfil e status disponíveis.
De acordo com os pesquisadores, a aplicação permite consultar de maneira ilimitada se um número está registrado no WhatsApp. A pesquisa revelou que essa é uma vulnerabilidade que persiste há anos. O problema está ligado a uma função chamada “descobrimento de contatos”, que é ativada quando um usuário adiciona um novo número na agenda. O celular responde automaticamente se a conta já existe, mostrando também a foto de perfil e a descrição na seção “Sobre”.
Os pesquisadores testaram a vulnerabilidade diretamente na versão web do WhatsApp. Começaram com números dos Estados Unidos e, em apenas meia hora, coletaram 30 milhões de contas ativas. Depois, expandiram a busca globalmente, criando combinações numéricas de todos os países, sem encontrar bloqueios. Assim, montaram uma base massiva com 3,5 bilhões de registros.
Em 57% dos perfis, as fotos de perfil eram visíveis, e 29% permitiram acesso ao status. Essa técnica ainda possibilitou descobrir usuários em regiões onde o WhatsApp é proibido, como na China e em Mianmar, onde ter o aplicativo pode ser arriscado para a segurança pessoal. Embora os dados obtidos não incluam mensagens ou conversas, a amplitude do estudo oferece oportunidades perigosas: com informações reais, fotos e descrições, criminosos podem criar campanhas mais eficazes de phishing, engenharia social ou spam massivo.
O que diz a Meta sobre a situação
Esse estudo trouxe à tona uma questão fundamental sobre o WhatsApp: o número de telefone como chave de acesso. Os pesquisadores alertaram que esses dados nunca deveriam ser usados como credenciais privadas. Enquanto essa forma de identificação persistir, qualquer mecanismo de descoberta pode se tornar um meio de exposição.
O levantamento incluiu uma análise por país, com a Argentina ocupando a 19ª posição no ranking mundial, apresentando 43.854.434 contas detectadas, que correspondem a 1,27% do total encontrado. Dentro dessa quantidade, 54,8% tinham fotos de perfil visíveis, 32,8% mostravam seu status e 5,4% pertenciam a contas comerciais.
Diante da gravidade da descoberta, a Meta se manifestou. A empresa reconheceu o trabalho do time austríaco e afirmou que já implementou barreiras adicionais para evitar coletas automáticas de dados. De acordo com a empresa, não se tratou de uma filtração interna, mas sim de um caso de scraping, que exigia que o número fosse conhecido previamente. A visibilidade das fotos e dos status depende, segundo a empresa, das configurações de privacidade de cada usuário.
No entanto, especialistas destacam um ponto crítico: o WhatsApp permitia a consulta de números sem limites, algo que consideram inaceitável para uma plataforma com bilhões de contas ativas. O sistema de verificação deveria ter medidas de segurança mais rigorosas.