Pesquisadores da Universidade de Viena, na Áustria, identificaram uma falha grave no WhatsApp que, por anos, permitiu que qualquer pessoa coletasse números de celular de todos os usuários do aplicativo. Segundo o estudo, a vulnerabilidade estava na ferramenta de busca usada para iniciar novas conversas recurso essencial para enviar mensagens a contatos não salvos na agenda.
A ausência de limites nessa busca tornou possível coletar, em larga escala, números de telefone associados a contas do WhatsApp. Os pesquisadores afirmam que, explorando essa brecha, seria possível mapear até 3,5 bilhões de usuários número até maior do que os 2 bilhões oficialmente divulgados pela plataforma. Além dos números, fotos e frases de perfil também puderam ser acessadas. As mensagens, no entanto, permaneceram protegidas pela criptografia de ponta a ponta.
A coleta utilizou a técnica de enumeração, que consiste em testar sequências de números até identificar contas ativas. Essa prática, conhecida como raspagem de dados (scraping), é comumente usada em ataques de coleta massiva de informações.
“Embora limitar a taxa de buscas seja uma defesa padrão, mostramos que o WhatsApp continua altamente vulnerável à enumeração em larga escala”, diz o relatório. Os pesquisadores afirmam ter conseguido realizar 7 mil consultas por segundo sem qualquer bloqueio efetivo por parte da plataforma. Todo o material coletado foi apagado antes da publicação do estudo.
Um “censo” global do WhatsApp
Com os números coletados, os pesquisadores criaram um panorama detalhado dos usuários do aplicativo ao redor do mundo. O estudo aponta que o Brasil possui cerca de 206 milhões de contas ativas o terceiro maior mercado da plataforma, atrás apenas da Índia (749 milhões) e da Indonésia (235 milhões).
No Brasil, foi possível identificar as fotos de perfil de 61% dos usuários. O levantamento também revelou que 81,4% dos brasileiros utilizam Android, enquanto 18,6% usam iPhone.
O estudo alerta que, caso acessados por criminosos, esses dados poderiam ser usados em ataques de spam, golpes de phishing e ligações automatizadas, representando risco à privacidade e à segurança dos usuários.
Como a falha foi testada
Entre dezembro de 2024 e abril de 2025, os pesquisadores realizaram diversas rodadas de enumeração usando um software próprio, capaz de se conectar aos servidores do WhatsApp. Com o apoio de uma biblioteca do Google que reúne padrões telefônicos de vários países, eles geraram uma lista de 63 bilhões de números possíveis em 245 nações.
O sistema também considerou detalhes locais, como a mudança no padrão dos celulares brasileiros — incluindo o dígito 9 mas levando em conta que muitas contas ainda usam números antigos.
A etapa seguinte consistiu em verificar quantas dessas sequências correspondiam a contas ativas. Mesmo realizando todas as buscas a partir de um único servidor, os pesquisadores afirmam que nenhum bloqueio ou limitação relevante ocorreu.
A resposta do WhatsApp
Segundo o estudo, a Meta foi informada sobre o problema em setembro de 2024, mas só passou a agir com mais firmeza um ano depois, quando os pesquisadores comunicaram que tornariam os resultados públicos.
Após o alerta final, a plataforma implementou medidas para limitar buscas suspeitas e restringiu a visualização repetida de fotos e frases de perfil de contatos desconhecidos.
Em nota enviada ao g1, o WhatsApp agradeceu aos pesquisadores e afirmou que não encontrou evidências de exploração mal-intencionada dessa falha. A empresa ressaltou que já trabalhava em sistemas anti-scraping avançados e que o estudo ajudou a validar melhorias recentes.
Comunicado oficial do WhatsApp
A plataforma reforçou que a vulnerabilidade permitia acesso apenas a informações públicas, e que as mensagens dos usuários permaneceram totalmente protegidas pela criptografia de ponta a ponta.
Fonte: G1
