Pesquisadores da Universidade de Viena identificaram uma vulnerabilidade simples, porém gigantesca, no WhatsApp. A falha permitiu a extração de informações de aproximadamente 3,5 bilhões de números de telefone, o equivalente à base global de usuários ativos do aplicativo. Apenas no Brasil, mais de 200 milhões de perfis estavam potencialmente acessíveis.
A descoberta foi revelada pela Wired e explora um recurso nativo do WhatsApp: a busca por contatos usando apenas o número de telefone. Ao digitar qualquer número válido, o app exibe dados como nome, foto de perfil, recado, status, links e até a Chave Pix, caso o usuário tenha configurado essas informações como públicas. A vulnerabilidade consistia na ausência de limitação para consultas em grande escala, permitindo aos pesquisadores verificarem quase 100 milhões de números por hora.
Entre os dados coletados, 57% exibiram foto de perfil e 29% mostraram o recado público. Segundo o pesquisador Aljosha Judmayer, trata-se de uma das maiores exposições de números de telefone já documentadas. O impacto é ainda mais crítico em países onde o WhatsApp domina a comunicação. Dados de janeiro do Mobile Time confirmam que o Brasil é o mercado mais expressivo do aplicativo. Entre os números extraídos, a Índia lidera com 750 milhões, seguida do Brasil com 206 milhões e dos Estados Unidos com 137 milhões.
Os pesquisadores perceberam a falha em 2024, quando notaram que o sistema não limitava a taxa de consultas. Em apenas 30 minutos, foi possível varrer cerca de 30 milhões de números dos EUA. Um banco de dados desse porte poderia ser extremamente valioso para golpistas, já que números de telefone seguem sendo usados como identificadores principais em muitas plataformas, mesmo não sendo seguros para essa função.
A equipe reportou o problema à Meta e apagou o acervo extraído. A empresa corrigiu os limites de busca em outubro. Segundo a Meta, os dados expostos eram informações públicas básicas e não houve evidências de exploração maliciosa. O vice-presidente de engenharia do WhatsApp, Nitin Gupta, afirmou que o estudo ajudou a validar um novo sistema anti-raspagem e que a criptografia de ponta a ponta manteve as mensagens seguras. Ele também reforça que nenhuma informação privada ficou acessível.
A exposição reacende um alerta antigo. Em 2017, o pesquisador Loran Kloeza já havia demonstrado que números de telefone permitiam descobrir dados públicos de usuários. Para reduzir esse risco estrutural, o WhatsApp planeja adotar identificadores numéricos semelhantes aos do Instagram, com previsão para 2026.
Enquanto isso, os usuários podem reforçar a privacidade ajustando o que é exibido no perfil. Nas configurações do WhatsApp, na seção de privacidade, é possível definir quem pode ver dados como foto, recado, status e outros elementos, limitando-os a contatos ou ocultando por completo.
A falha expõe um ponto crítico da era digital: a dependência excessiva do número de telefone como identidade principal e a facilidade com que informações públicas podem ser exploradas em larga escala. A discussão continua relevante para qualquer serviço que pretenda garantir segurança para bilhões de pessoas.
