ZCash Brasil no Discord.

Falha de segurança do WhatsApp expõe fotos e dados de bilhões de usuários

Falha de segurança do WhatsApp expôs 3,5 bilhões de números, fotos e descrições. Entenda como ocorreu e o que mudou.

Ilustração representando vazamento de dados causado por falha de segurança do WhatsApp.

A seguir:

  1. Pesquisadores coletaram 3,5 bilhões de números explorando a falha de segurança do WhatsApp.
  2. Exposição incluía fotos de perfil e textos públicos, especialmente em países onde o app é amplamente usado.
  3. Meta corrigiu o problema após alerta, mas especialistas afirmam que o uso de números como identificadores continuará criando riscos.

A falha de segurança do WhatsApp ganhou destaque internacional depois que um grupo de pesquisadores da Áustria revelou uma exposição inédita de informações. Eles descobriram que o recurso de descoberta de contatos do aplicativo, usado diariamente por bilhões de pessoas, permitia identificar praticamente todos os usuários da plataforma. Como resultado, 3,5 bilhões de números foram coletados em poucas semanas, além de fotos de perfil e textos públicos, conforme relatado por Wired.

Como a falha de segurança do WhatsApp surgiu

A falha de segurança do WhatsApp apareceu justamente em um recurso criado para facilitar a vida dos usuários. Quando alguém adiciona um número na agenda, o aplicativo identifica automaticamente se aquela pessoa usa a plataforma e exibe foto e nome. Contudo, ao repetir o processo em larga escala, a equipe da Universidade de Viena percebeu que conseguia testar milhões de números por hora sem qualquer bloqueio.

Os pesquisadores afirmam que essa falha de segurança do WhatsApp proporcionou a “mais extensa exposição de números de telefone já documentada”. Segundo eles, 57% dos números coletados exibiam fotos de perfil e 29% mostravam textos públicos de descrição. Tudo isso ocorreu porque o WhatsApp não limitava adequadamente a quantidade de solicitações feitas pelo navegador.

Falha de segurança do WhatsApp havia sido alertada em 2017

A situação se torna ainda mais preocupante porque a falha de segurança do WhatsApp já tinha sido apontada em 2017. Na época, o pesquisador holandês Loran Kloeze publicou um alerta detalhando como a enumeração de números permitia acessar fotos, textos e até horários de atividade dos usuários. Mesmo assim, o problema continuou disponível durante anos.

O WhatsApp, que pertence à Meta, afirmou na época que os controles de privacidade funcionavam conforme o esperado e que somente contatos autorizados poderiam visualizar certas informações. No entanto, os pesquisadores austríacos demonstraram que muitos usuários mantêm fotos e descrições públicas, o que ampliou o impacto da exposição.

O que a Meta fez após descobrir a falha de segurança do WhatsApp

Os pesquisadores notificaram a Meta em abril e deletaram todos os dados obtidos. Em outubro, a empresa implementou um sistema mais rígido de rate-limiting, impedindo que o método fosse usado novamente em larga escala. Mesmo assim, eles alertam que a falha de segurança do WhatsApp poderia ter sido explorada por golpistas ou até por governos.

Segundo a Meta, nenhuma evidência indica uso malicioso da brecha. O vice-presidente de engenharia do WhatsApp, Nitin Gupta, afirmou que as defesas contra scraping já estavam em evolução e que o estudo ajudou a validar a eficácia das novas camadas de proteção. Ele reforçou que mensagens permaneceram seguras graças à criptografia de ponta a ponta.

Falha de segurança do WhatsApp teve impacto global

Os dados analisados revelam aspectos sociais relevantes. Nos Estados Unidos, 44% dos usuários tinham foto pública e 33% mostravam o texto “sobre”. Na Índia, 62% exibiam imagem de perfil. No Brasil, entre 206 milhões de números encontrados, 61% deixavam fotos visíveis. Em países onde o WhatsApp é proibido, como China e Mianmar, milhões de usuários apareceram nos resultados, o que abre riscos graves — há casos de pessoas detidas apenas por usar o aplicativo.

Além dos números, os pesquisadores analisaram as chaves criptográficas dos 3,5 bilhões de contas. Eles identificaram casos de duplicação de chaves — inclusive algumas repetidas centenas de vezes. Também encontraram 20 números dos EUA com uma chave composta por zeros, algo anormal. A equipe acredita que isso ocorre por causa de aplicativos não oficiais que burlam o sistema do WhatsApp, frequentemente usados por golpistas.

Por que a falha de segurança do WhatsApp acontece

Os pesquisadores defendem que o problema vai além do rate-limiting. Eles afirmam que números de telefone não possuem aleatoriedade suficiente para servir como identificadores únicos em um sistema com bilhões de usuários. Enquanto o WhatsApp continuar usando o número como base para descoberta de contatos, falhas como essa continuarão possíveis. A empresa já testa um sistema de nomes de usuário para reduzir esse risco.

Avatar de Mirian Romão

Escrito por