Um grupo de pesquisadores descobriu que o WhatsApp possui uma falha de segurança simples, porém massiva, que pode ter exposto 3,5 bilhões de números de telefone. O número corresponde, basicamente, ao total de usuários ativos na plataforma. Só no Brasil, são mais de 200 milhões de números cadastrados.
A descoberta foi feita por pesquisadores da Universidade de Viena e revelada pela Wired nesta terça-feira (18). A falha em questão acontece no recurso de busca por números do próprio WhatsApp, expondo dados como nome, foto de perfil, status, recado, links, grupos e até Chave Pix.
Esse recurso funciona assim: basta digitar um número de telefone válido no WhatsApp e o aplicativo vai exibir os detalhes do perfil. A pesquisa se apoiou na ferramenta para identificar e explorar, de forma responsável, a extração de informações pessoais de uma parcela gigantesca da população mundial.
Dos 3,5 bilhões de números extraídos, 57% tiveram fotos de perfil expostas e outros 29% exibiram o recado de perfil. O pesquisador Aljosha Judmayer diz que o caso “marca a exposição mais extensa de números de telefone e dados de usuários relacionados já documentada”.
WhatsApp é o app mais usado do Brasil
O caso preocupa não só pela facilidade em que a falha podia ser explorada para extrair dados de bilhões de pessoas, mas também pela massividade. A pesquisa “Panorama” de janeiro, do site Mobile Time, revelou que o WhatsApp é o aplicativo mais usado do Brasil.
Entre os países analisados pela pesquisa, o Brasil é um dos grandes destaques na coleta de dados pelo WhatsApp: o número representa quase a totalidade da população.
- Índia: 750 milhões de números;
- Brasil: 206 milhões de números;
- Estados Unidos: 137 milhões de números.
Os pesquisadores teriam identificado a falha inicialmente em 2024, durante testes. Eles descobriram que o WhatsApp não limitava a taxa com que um usuário poderia fazer esse tipo de extração. “Em meia hora, tínhamos cerca de 30 milhões de números baseados nos EUA”, disse um dos pesquisadores.
Com os dados em mãos, golpistas e scammers poderiam gerenciar um banco de dados e, com efetividade, ludibriar usuários da plataforma. Os pesquisadores reforçam que os números de telefone “não foram projetados para serem usados como identificadores secretos para contas”.
“Se você tem um grande serviço usado por mais de um terço da população mundial, e esse é o mecanismo de descoberta, isso é um problema”, apontou Aljosha Judmayer, pesquisador da Universidade de Viena.
*Esta é uma matéria em atualização e será atualizada com mais informações.
