Brecha no Whatsapp expõe 3,5 bilhões de números, fotos e perfis

Um grupo de pesquisadores da Universidade de Viena revelou uma das maiores exposições de dados já documentadas em um serviço digital: a obtenção de números de telefone e informações públicas de 3,5 bilhões de usuários do WhatsApp por meio de um mecanismo simples da própria plataforma. O método explorou o sistema de descoberta de contatos do aplicativo, que permite verificar automaticamente se um número está cadastrado no serviço, recurso que, repetido bilhões de vezes, abriu caminho para mapear praticamente toda sua base global.

Segundo os pesquisadores, para 57% desses números foi possível acessar também a foto de perfil, e para outros 29%, o texto associado à conta. A equipe descreve o resultado como algo que seria “o maior vazamento de dados da história, não fosse parte de um estudo conduzido de forma responsável”.

A falha explorada não era inédita. Pesquisadores já haviam alertado sobre o risco de enumeração de números desde 2017. Ainda assim, até este ano, o WhatsApp não havia implementado limitações capazes de impedir consultas em larga escala, especialmente na versão web do aplicativo. Os austríacos conseguiram verificar cerca de 100 milhões de números por hora, sem bloqueios.

A Meta, dona do Whatsapp, afirma ter corrigido o problema em outubro, após receber o alerta em abril. A empresa agradeceu a contribuição e alegou que as informações expostas eram “dados básicos públicos”, uma vez que fotos e textos só são visíveis quando os usuários permitem. Também afirmou não haver evidências de uso malicioso da técnica e reforçou que as mensagens continuam protegidas pela criptografia de ponta a ponta.

A empresa sustenta que os pesquisadores não expuseram ou obtiveram 3,5 bilhões de números de telefone, mas geraram combinações possíveis e verificaram quais estavam registrados no WhatsApp. E que eles só conseguiram ver informações publicamente acessíveis, fotos de perfil e o texto do “Sobre”, caso os usuários escolhessem tornar essas informações públicas para “todos” no app.

“Somos gratos aos pesquisadores da Universidade de Viena pela parceria responsável e diligência no âmbito do nosso programa de Bug Bounty. Essa colaboração identificou com sucesso uma técnica de enumeração inédita que superou nossos limites previstos, permitindo que os pesquisadores coletassem informações básicas disponíveis publicamente. Já estávamos trabalhando em sistemas anti-scraping líderes do setor, e este estudo foi fundamental para testar e confirmar a eficácia imediata dessas novas defesas. É importante ressaltar que os pesquisadores já deletaram de forma segura os dados coletados como parte do estudo, e não encontramos evidências de que agentes mal-intencionados tenham explorado esse vetor. Como lembrete, as mensagens dos usuários permaneceram privadas e seguras graças à criptografia de ponta a ponta padrão do WhatsApp, e nenhum dado não público esteve acessível aos pesquisadores”, afirmou Nitin Gupta, VP de Engenharia do WhatsApp.

Os pesquisadores dizem que não encontraram qualquer mecanismo robusto para impedir a coleta e lembram que, mesmo que alguns campos fossem privados, o número de telefone estava totalmente exposto.

O estudo mostrou que a exposição variava conforme o país. Nos Estados Unidos, entre os 137 milhões de números coletados, 44% exibiam fotos de perfil e 33% tinham textos públicos. Já em mercados onde o WhatsApp é ainda mais dominante, como Índia e Brasil, a exposição era maior: na Índia, 62% tinham fotos públicas; no Brasil, 61%.

A pesquisa também identificou milhões de usuários ativos em países onde o WhatsApp é proibido. Foram encontrados 2,3 milhões de números da China e 1,6 milhão de Myanmar. Nesse contexto, governos poderiam ter usado a vulnerabilidade para identificar cidadãos que usam o aplicativo de forma ilegal, um risco especialmente crítico em países onde a repressão digital é forte.

Além dos números, os austríacos analisaram as chaves criptográficas públicas associadas às contas. Eles encontraram algo incomum: milhares de usuários compartilhavam chaves idênticas — um problema grave de segurança, já que chaves duplicadas poderiam permitir a descriptografia de mensagens destinadas a outros usuários.

Os pesquisadores suspeitam que as duplicações surgiram de clientes não oficiais do WhatsApp, frequentemente usados por golpistas e que podem implementar protocolos de criptografia de forma incorreta.