Uma falha presente durante anos no WhatsApp abriu caminho para que qualquer pessoa descobrisse números de todos os usuários do aplicativo.
O problema, ligado ao sistema de busca usado para iniciar conversas com contatos não salvos, poderia ter sido explorado para fraudes e outras ações enganosas.
A brecha só veio à tona após pesquisadores da Universidade de Viena analisarem o funcionamento interno do recurso e demonstrarem como a plataforma ficava exposta a consultas em larga escala.
Vulnerabilidade no WhatsApp permitiu acesso total aos números de usuários
O estudo mostrou que a vulnerabilidade permitia testar sequências inteiras de números de telefone para identificar contas ativas. Essa técnica, conhecida no meio de segurança como enumeração, costuma ser bloqueada por plataformas de grande porte, já que facilita a coleta massiva de dados.
No caso do WhatsApp, porém, não havia uma barreira eficaz para limitar o volume de buscas por segundo. Os pesquisadores afirmaram que conseguiram consultar milhares de combinações simultaneamente, sem qualquer bloqueio automático de IP ou conta.
Isso possibilitou mapear os números de todos os usuários do aplicativo, estimados por eles em 3,5 bilhões.
Além da confirmação de quais números tinham conta ativa, era possível visualizar imagens de perfil e mensagens de status de parte desses usuários.
Embora o conteúdo das conversas siga protegido por criptografia de ponta a ponta, a disponibilidade irrestrita dessas informações básicas já representava um risco relevante.
Com esses dados, golpistas poderiam montar campanhas de phishing, disparar chamadas automáticas ou personalizar abordagens fraudulentas de forma mais convincente.
WhatsApp tomou providências para combater falha
O levantamento foi realizado entre o fim de 2024 e o início de 2025, período em que os pesquisadores também acionaram a Meta, responsável pelo WhatsApp, para alertar sobre o problema.
Segundo o grupo, a empresa levou meses para responder e só demonstrou maior preocupação quando soube que os resultados seriam publicados.
Depois disso, o WhatsApp adotou mecanismos adicionais para reduzir a velocidade das buscas e restringiu o acesso a fotos e frases de perfil de pessoas desconhecidas.
Em nota, a Meta afirmou que não encontrou sinais de exploração maliciosa da falha e agradeceu a colaboração dos pesquisadores, destacando que os dados coletados foram excluídos de forma segura.
A empresa também disse que já trabalhava em sistemas mais robustos contra scraping e que as conversas dos usuários permaneceram protegidas.
Para quem usa o aplicativo, manter cuidados básicos ainda é essencial, como desconfiar de mensagens inesperadas, evitar compartilhar códigos recebidos por SMS e ajustar a privacidade para limitar quem pode visualizar informações do perfil.
