Pesquisadores da Universidade de Viena e da SBA Research identificaram uma vulnerabilidade no sistema de descoberta de contatos do WhatsApp que permitiu a enumeração de 3,5 bilhões de contas em 245 países. A falha — já corrigida pela Meta — abriu espaço para consultas massivas a números de telefone e exposição de metadados públicos. O estudo foi divulgado na terça-feira (18).
Curta, siga e se inscreva nas nossas redes sociais:
Facebook | X | Instagram | YouTube | Bluesky
Sugira uma reportagem. Mande uma mensagem para o nosso WhatsApp.
Entre no canal do Revista Cariri no Telegram e veja as principais notícias do dia.
Segundo os pesquisadores, era possível consultar mais de 100 milhões de números por hora usando a própria infraestrutura do WhatsApp. O comportamento suspeito chamou a atenção da equipe, que conseguiu:
• confirmar contas ativas;
• identificar sistema operacional utilizado;
• verificar idade da conta;
• mapear quantidade de dispositivos conectados.
A investigação também revelou que milhões de contas estavam ativas em países onde o aplicativo é banido, como China, Irã e Mianmar.
🌍 Tendências globais e riscos identificados
O estudo mostrou predominância de dispositivos Android (81%), contra 19% de iPhones. Também foram observadas diferenças regionais no uso de:
• fotos de perfil públicas;
• descrições visíveis;
• ajustes de privacidade.
A pesquisa encontrou ainda reutilização rara de chaves criptográficas em diferentes números ou aparelhos — algo que pode indicar falhas em clientes não oficiais ou uso fraudulento.
Outro ponto crítico: quase metade dos números vazados no incidente do Facebook em 2021 segue ativa no WhatsApp, ampliando o risco de golpes baseados em informações expostas.
🔐 Criptografia permaneceu intacta
Os pesquisadores destacaram que nenhuma mensagem foi acessada e que todo o material coletado foi apagado após a confirmação da falha. A criptografia de ponta a ponta permaneceu totalmente protegida.
“A proteção cobre o conteúdo, mas não necessariamente os metadados”, explicou Aljosha Judmayer, coautor do estudo.
O autor principal, Gabriel Gegenhuber, reforçou que o sistema respondeu a um volume de solicitações “que não deveria ser possível”, o que permitiu mapear contas globalmente.
🛠️ Meta corrige a falha e reforça segurança
A Meta afirmou que corrigiu a vulnerabilidade e implementou:
• limites mais rígidos de requisições;
• ajustes na visibilidade de perfis;
• novos filtros de proteção.
A empresa disse não ter identificado uso malicioso da falha.
“Essa colaboração identificou com sucesso uma técnica de enumeração que ultrapassou nossos limites previstos”, afirmou Nitin Gupta, vice-presidente de Engenharia do WhatsApp.
Ele reiterou que mensagens permaneceram seguras e que apenas dados já públicos puderam ser acessados.
📚 Estudo será apresentado em 2026
A pesquisa faz parte de um conjunto de trabalhos da equipe de Viena sobre privacidade em apps de mensagens. O novo estudo — “Olá! Você está usando o WhatsApp: Enumerando três bilhões de contas para segurança e privacidade” — será apresentado em 2026 no NDSS, um dos principais simpósios internacionais de segurança digital.
Os autores defendem que descobertas como essa reforçam a importância da pesquisa independente e da cooperação com empresas de tecnologia para proteger usuários no mundo todo.
Por Nágela Cosme
