Uma falha crítica de segurança no WhatsApp permitiu aos investigadores expor os números de telefone de 3,5 mil milhões de utilizadores, marcando uma das fugas de dados mais significativas alguma vez documentadas.
Esta vulnerabilidade, enraizada no recurso de descoberta de contatos do aplicativo, persistiu apesar dos avisos ao Meta desde 2017, levantando sérias preocupações sobre a privacidade do usuário na plataforma de mensagens mais popular do mundo.
A exploração depende do mecanismo integrado do WhatsApp para encontrar contatos, que revela se um usuário está no serviço e detalhes públicos, como fotos de perfil e textos de status quando um número de telefone é inserido.
Pesquisadores de segurança da Universidade de Viena demonstraram a falha consultando sistematicamente bilhões de números potenciais, confirmando contas ativas a uma taxa de mais de 100 milhões por hora, sem quaisquer restrições do WhatsApp.
O seu estudo, realizado entre dezembro de 2024 e abril de 2025, gerou um conjunto de dados abrangente utilizando uma ferramenta chamada libphonegen para criar números de telefone realistas em 245 países.
Ao aproveitar o protocolo XMPP do WhatsApp por meio de um cliente de código aberto modificado, a equipe acessou não apenas números de telefone, mas também chaves de criptografia, carimbos de data/hora e informações de perfil público para 56,7% das contas.
Vulnerabilidade do WhatsApp expõe 3,5 bilhões de usuários
A ferramenta de descoberta de contatos do WhatsApp, projetada para conveniência, carece de uma limitação de taxa robusta, permitindo a coleta automatizada em grande escala. Os pesquisadores usaram apenas cinco contas autenticadas em um único servidor universitário para sondar 63 bilhões de números potenciais, identificando 3,5 bilhões de números ativos em menos de seis meses.
Para 29,3% dos utilizadores, os textos “sobre” revelaram detalhes sensíveis, como opiniões políticas, afiliações religiosas ou links para outros perfis de redes sociais.
De forma alarmante, o estudo revelou 2,9 milhões de casos de reutilização de chaves públicas, incluindo identidade e pré-chaves, que poderiam minar a encriptação de ponta a ponta se exploradas por agentes maliciosos que utilizam clientes não oficiais.
Um exemplo extremo envolveu 20 números dos EUA compartilhando uma chave composta apenas por zeros, sugerindo possível fraude ou implementações quebradas.
Esta vulnerabilidade ecoa avisos anteriores; um pesquisador sinalizou o problema em 2017, mas o Meta atrasou as correções por oito anos. Os dados expostos sobrepõem-se significativamente a violações anteriores, como a fuga de 500 milhões de números do Facebook em 2021, onde quase metade permaneceu ativa no WhatsApp, aumentando os riscos de fraudes e ataques direcionados.
Os utilizadores em países que proíbem o WhatsApp, como a China, o Irão e a Coreia do Norte, enfrentam perigos ampliados, incluindo vigilância estatal ou perseguição.
A Meta reconheceu as descobertas por meio de seu programa de recompensas por bugs em abril de 2025 e implementou limites de taxas mais rígidos em outubro de 2025, alegando que os dados já eram públicos e as mensagens permaneciam criptografadas.
O vice-presidente de engenharia do WhatsApp, Nitin Gupta, afirmou que a empresa estava desenvolvendo medidas anti-raspagem e que a pesquisa ajudou a testá-las, sem nenhuma evidência de exploração maliciosa encontrada.
Os pesquisadores excluíram responsavelmente seu conjunto de dados e enfatizaram que os perfis privados limitavam a exposição, mas criticaram o Meta por não encontrar defesas durante a investigação.
Apesar do patch, os especialistas alertam sobre ameaças persistentes. As contas empresariais, que representam 9% das que foram excluídas, muitas vezes expõem involuntariamente mais dados por meio dos recursos do WhatsApp Business.
A falha destaca questões mais amplas em ataques de enumeração, onde recursos de conveniência se tornam armadilhas de privacidade, potencialmente alimentando campanhas de phishing, troca de SIM ou doxxing. Os analistas de segurança cibernética recomendam que os usuários definam perfis como privados, evitem compartilhar detalhes pessoais em status e monitorem atividades suspeitas, especialmente pós-vazamento.
Este incidente sublinha os desafios de proteger plataformas com milhares de milhões de utilizadores, onde mesmo a agregação de dados “públicos” cria um ecossistema de perfis ocultos.
À medida que o WhatsApp domina as mensagens em regiões como a África Ocidental, onde 80% dos perfis eram públicos, os riscos de roubo de identidade e ataques cibernéticos aumentam.
ClassificaçãoPaís# ContasCompartilhamento GlobalAndroid (%)iOS (%)Imagem (%)Sobre Texto (%)Negócios (%)Companheiros (%). Estados137.859.2843,99%336744.032.82.46.15Rússia132.855.0223,84%762461.733.53.69.46México o128.324.1663,71%821846.123.34.111.77Paquistão98.277.6652,84%95558.520.021.75.48Alemanha7 4.565.4252,16%584251.035.42.213.49Turquia72.131.9032,09%732748.033.43.012.010Egito69,31 7.8062,01%901053.225.111.36.111–245Outros1.552.021.57144,90%772356.927.99.39.0Global(245 países)3.456.622.389100,00%811956.729.39.08.8
Os reguladores podem examinar mais detalhadamente o Meta após as multas do GDPR por lapsos passados, pressionando por defesas proativas, como CAPTCHA avançado ou análise comportamental.
Siga-nos no Google News, LinkedIn e X para atualizações diárias de segurança cibernética. Contate-nos para apresentar suas histórias.
