Publicidade
Pesquisadores da Universidade de Viena identificaram uma brecha estrutural no sistema de busca do WhatsApp que, por anos, permitiu coletar em massa números de celular de todos os usuários do aplicativo. O estudo foi divulgado pelo G1.
A vulnerabilidade, revelada em estudo publicado nesta quarta-feira (19), expôs dados básicos de até 3,5 bilhões de contas, número superior aos 2 bilhões divulgados oficialmente pelo WhatsApp.
A brecha estava no mecanismo que permite iniciar conversas com usuários não salvos na agenda. Sem limites eficazes para consultas sucessivas, o sistema permitiu que o software criado pelos pesquisadores realizasse até 7 mil buscas por segundo, sem bloqueio ou fiscalização por parte da plataforma.
Continua depois da publicidade
“Super Bigode” vira peça central da propaganda chavista em meio à tensão com os EUA
Animação que parodia Maduro é usada como resposta à presença militar americana no Caribe e compõe estratégia de comunicação do regime
Plataformas como Meta e Tik Tok removem perfis do tráfico
Empresas desenvolvem campanha educativa com especialistas para evitar contato de crianças e adolescentes com o crime organizado
Segundo o estudo, além de identificar quais números estavam ativos no aplicativo, foi possível acessar fotos de perfil e frases de status de grande parte desses usuários. As mensagens das conversas, porém, permaneceram protegidas pela criptografia de ponta a ponta.
“Censo do WhatsApp”
Entre dezembro de 2024 e abril de 2025, os pesquisadores usaram um software próprio para interagir diretamente com os servidores do WhatsApp. A equipe testou 63 bilhões de combinações possíveis de números de celular em 245 países, levando em conta as variações de formatação, como o dígito 9 adicionado no Brasil.
Apesar da intensidade das consultas, a plataforma não bloqueou o IP nem limitou a taxa de buscas, permitindo que os pesquisadores mapeassem contas ativas no mundo todo.
Com os dados recolhidos, eles montaram um levantamento global. Segundo o estudo:
• O Brasil tem 206 milhões de usuários ativos, o terceiro maior mercado do app.
• 61% dos brasileiros tiveram suas fotos de perfil identificadas.
• 81,4% usam Android, e 18,6%, iPhone.
O relatório alerta que, caso explorada por agentes mal-intencionados, a brecha poderia ser usada para spam em massa, golpes, campanhas de phishing e ligações automatizadas.
Os autores afirmam que apagaram todos os dados antes da publicação.
Continua depois da publicidade
WhatsApp foi alertado
Os pesquisadores disseram ter comunicado a Meta, dona do WhatsApp, ainda em setembro de 2024, mas não receberam retorno imediato. Apenas em setembro de 2025 — quando avisaram que o estudo seria divulgado — a empresa passou a tratar o assunto como prioridade.
Após os alertas, a plataforma limitou o número de buscas possíveis; restringiu visualização de fotos e status de desconhecidos; e, reforçou sistemas anti-scraping.
Em nota assinada por Nitin Gupta, VP de Engenharia do WhatsApp, a empresa agradeceu a colaboração dos pesquisadores e afirmou não ter encontrado indícios de exploração maliciosa da falha.
Continua depois da publicidade
O comunicado também reforçou que a técnica encontrada superou limites previamente previstos e que o estudo ajudou a validar o conjunto mais recente de defesas anti-raspagem.
Falha expôs dados públicos
O WhatsApp ressaltou que os pesquisadores acessaram apenas informações públicas — como número, foto e status — e que nenhum dado privado ficou vulnerável. No entanto, especialistas afirmam que a exposição desse tipo de informação é suficiente para facilitar ataques direcionados.
A empresa disse que a criptografia de ponta a ponta nunca foi comprometida.
Continua depois da publicidade
A empresa ainda ressalta que os dados acessados eram públicos e dependiam das escolhas de privacidade dos próprios usuários.
Segundo o comunicado, tratar a descoberta de contatos por número como uma falha estrutural “ignora expectativas básicas de comunicação”, já que WhatsApp, Signal, Telegram e iMessage utilizam esse mesmo modelo para facilitar a conexão entre pessoas.
A plataforma também reforçou que a criptografia de ponta a ponta permaneceu intacta e que nenhum dado privado ficou acessível.
Continua depois da publicidade
A Meta afirma que continua monitorando tentativas de enumeração e coleta automatizada.