O WhatsApp apresentou, por anos, uma vulnerabilidade que permitiu a coleta de números de telefone de bilhões de seus usuários. A falha foi identificada por pesquisadores de ciência da computação da Universidade de Viena, na Áustria, que conseguiram mapear 3,5 bilhões de perfis no aplicativo.
Como a brecha funcionava
A vulnerabilidade residia na função de busca do WhatsApp, utilizada para iniciar conversas com contatos não salvos na agenda do usuário. A ausência de limites para essa pesquisa possibilitou a coleta em massa de números de telefone através de uma técnica denominada “enumeração” ou “raspagem de dados” (scraping). Os pesquisadores conseguiram realizar até 7 mil buscas por segundo sem qualquer bloqueio efetivo.
‘Censo’ do WhatsApp
Com os dados coletados, os pesquisadores criaram uma espécie de “censo” do WhatsApp, detalhando informações sobre usuários por país, sistemas operacionais utilizados e a quantidade de fotos de perfil disponíveis. O Brasil se destacou como o terceiro maior mercado do aplicativo, com 206 milhões de usuários ativos, atrás apenas da Índia (749 milhões) e da Indonésia (235 milhões). A pesquisa também revelou que 61% dos usuários brasileiros possuem fotos de perfil, 81,4% utilizam o sistema Android e 18,6%, o iOS.
Riscos e impactos
A exposição desses dados representa riscos significativos à privacidade e segurança dos usuários, podendo ser explorada para campanhas de spam, ataques de phishing e chamadas automáticas. O estudo alerta que, em mãos de agentes maliciosos, as informações podem ser utilizadas para fins ilícitos.
Resposta do WhatsApp
Procurado, o WhatsApp agradeceu aos pesquisadores pela colaboração e informou não ter encontrado evidências de que a brecha tenha sido explorada por agentes mal-intencionados. A empresa afirmou que já estava desenvolvendo sistemas anti-scraping e que o estudo contribuiu para testar e validar a eficácia das novas defesas. Após o alerta, o WhatsApp implementou medidas para limitar a quantidade de buscas por números de telefone e restringiu o acesso a fotos e frases de perfil de usuários desconhecidos.
“Já estávamos trabalhando em sistemas anti-scraping líderes do setor, e este estudo foi fundamental para testar e confirmar a eficácia imediata dessas novas defesas”, afirmou Nitin Gupta, vice-presidente de Engenharia do WhatsApp, em nota oficial.
Os pesquisadores informaram à Meta (empresa dona do WhatsApp) sobre a vulnerabilidade em setembro de 2024 e excluíram os dados coletados antes da publicação do artigo.
