Um estudo conduzido por pesquisadores da Universidade de Viena revelou uma das maiores exposições potenciais de dados já registradas em um serviço digital. Eles demonstraram que era possível coletar números de telefone e informações públicas de 3,5 bilhões de usuários do WhatsApp utilizando apenas um recurso legítimo da própria plataforma.
O grupo explorou o sistema de descoberta automática de contatos — a função que verifica se um número está registrado no aplicativo. Ao repetir esse processo bilhões de vezes, os pesquisadores conseguiram mapear praticamente toda a base global de usuários.
Segundo o estudo, 57% dos números coletados exibiam foto de perfil e 29% mostravam textos públicos. Para os pesquisadores, o resultado seria “o maior vazamento de dados já registrado”, caso não tivesse sido produzido de maneira ética e controlada.
Uma falha antiga – e ignorada por anos
A vulnerabilidade não era novidade. Desde 2017 especialistas alertavam para o risco de “enumeração de números”, mas o WhatsApp não havia implementado barreiras eficazes para limitar consultas em massa — especialmente na versão web do aplicativo.
Durante os testes, os austríacos conseguiram consultar cerca de 100 milhões de números por hora sem qualquer bloqueio, evidenciando a falta de mecanismos de proteção adequados.
A resposta da Meta
A Meta, empresa responsável pelo WhatsApp, afirmou ter corrigido o problema em outubro, após receber o alerta dos pesquisadores meses antes. A companhia declarou que os dados acessados eram “informações básicas públicas”, já que fotos e recados dependem das configurações de privacidade de cada usuário. Também afirmou não haver indícios de uso malicioso da técnica e reforçou que as mensagens continuam protegidas pela criptografia de ponta a ponta.
Os pesquisadores, porém, discordam: segundo eles, não havia nenhum limitador realmente robusto que impedisse a coleta em larga escala — e, independentemente da privacidade do perfil, os números de telefone estavam totalmente expostos.
Países mais afetados
O estudo também mostrou que o impacto variava conforme a região.
- Estados Unidos: entre 137 milhões de números, 44% exibiam foto; 33% tinham texto público.
- Índia: 62% das contas mostravam fotos de perfil.
- Brasil: 61% exibiam imagens publicamente.
Outro ponto crítico é que milhões de contas foram identificadas em países onde o WhatsApp é proibido. A pesquisa encontrou 2,3 milhões de números da China e 1,6 milhão de Myanmar, o que poderia expor cidadãos a riscos severos caso governos explorassem a falha para monitorar o uso ilegal do app.
Chaves criptográficas duplicadas: um sinal de alerta
Além da coleta de números, o estudo analisou as chaves criptográficas públicas das contas e identificou milhares de duplicações. Em termos práticos, isso significa que diferentes usuários estavam compartilhando chaves idênticas — algo extremamente perigoso, pois abre margem para que mensagens direcionadas a uma pessoa possam ser descriptografadas por outra.
Os pesquisadores suspeitam que esse problema esteja ligado a apps não oficiais do WhatsApp, frequentemente usados por golpistas e que implementam mal o protocolo de criptografia.
Como esse caso se compara aos maiores vazamentos da história?
Se essa falha tivesse sido explorada de forma mal-intencionada, seu impacto superaria alguns dos incidentes mais conhecidos do mundo da segurança digital:
- Facebook (2021): 533 milhões de usuários expostos
- Equifax (2017): 147 milhões
- Aadhaar, na Índia (2018): cerca de 1,1 bilhão
- Yahoo (2013/2014): 3 bilhões de contas afetadas
O estudo envolvendo o WhatsApp, com 3,5 bilhões de números acessíveis, ultrapassaria até mesmo os casos do Yahoo, tornando-se potencialmente a maior exposição de dados da história da internet — e tudo isso usando apenas recursos legítimos do próprio aplicativo.
O que o usuário pode fazer agora?
Embora a falha tenha sido corrigida, vale revisar algumas configurações de privacidade:
Ative a verificação em duas etapas.
Mantenha foto de perfil visível apenas para “Meus contatos”.
Oculte recados e informações pessoais.
Evite usar aplicativos modificados (WhatsApp GB, WhatsApp Plus e similares).
