emdia.es/201740
Pesquisadores de ciência da computação da Universidade de Viena, na Áustria, identificaram uma falha no WhatsApp que permitiu descobrir números de celular de 3,5 bilhões de usuários em todo o mundo. A vulnerabilidade, localizada no sistema de busca para iniciar novas conversas, possibilitou a coleta massiva de dados públicos, como fotos e frases de perfil, embora o conteúdo das mensagens tenha permanecido protegido pela criptografia de ponta a ponta.
De acordo com o estudo divulgado, a brecha residia na falta de limites para a pesquisa de contatos dentro do aplicativo. A funcionalidade é utilizada para iniciar trocas de mensagens com pessoas que não estão na lista de contatos do usuário. Contudo, a ausência de bloqueios eficazes permitiu que os acadêmicos realizassem uma varredura em larga escala, identificando um número de perfis superior aos 2 bilhões divulgados oficialmente pela plataforma.
“Censo” global e dados do Brasil
A partir da exploração da falha, os pesquisadores conseguiram elaborar o que classificaram como uma espécie de “Censo do WhatsApp”. O levantamento detalhou números de usuários por país, sistemas operacionais utilizados e a quantidade de fotos de perfil disponíveis publicamente.
Os dados revelam que o Brasil é o terceiro maior mercado do aplicativo, contabilizando 206 milhões de usuários ativos. O país fica atrás apenas da Índia, com 749 milhões, e da Indonésia, com 235 milhões.
O estudo apontou ainda características técnicas da base de usuários brasileira:
81,4% utilizam o sistema operacional Android;
18,6% utilizam iPhone (iOS);
Foi possível identificar a foto de perfil de 61% dos usuários no país.
O relatório alerta que, caso tais informações fossem obtidas por agentes maliciosos, poderiam ser utilizadas para a aplicação de golpes, campanhas de spam, ataques de phishing (roubo de dados) ou chamadas automáticas. A prática de coleta automatizada é tecnicamente conhecida como “raspagem de dados” ou scraping.
Metodologia da falha
Os testes foram realizados entre dezembro de 2024 e abril de 2025. Utilizando um programa alternativo conectado aos servidores do WhatsApp e uma biblioteca do Google com padrões telefônicos de 245 países, os pesquisadores geraram uma lista de 63 bilhões de números possíveis. A listagem incluiu especificidades locais, como a variação no padrão brasileiro (com e sem o nono dígito).
Durante a execução, o grupo afirmou ter conseguido realizar 7 mil pesquisas de números de celular por segundo, a partir de um único servidor, sem sofrer bloqueios de endereço IP ou limitações de taxa por parte da plataforma.
“Embora a limitação da taxa [de quantidade de buscas] seja uma defesa padrão contra abusos, revisamos o problema e mostramos que o WhatsApp continua altamente vulnerável à enumeração em larga escala”, destaca o texto do estudo.
Os pesquisadores afirmaram que todo o material coletado durante os testes foi excluído antes da publicação do artigo acadêmico.
Cronologia e resposta da plataforma
O grupo de pesquisa informou ter notificado a Meta, empresa proprietária do WhatsApp, sobre o risco de enumeração de números ainda em setembro de 2024. Segundo os autores, a empresa comunicou que encaminharia o alerta aos engenheiros, mas não forneceu atualizações até agosto de 2025.
A postura da empresa teria mudado a partir de setembro de 2025, quando os pesquisadores avisaram que o conteúdo seria tornado público. Após esse período, o WhatsApp implementou medidas para limitar a quantidade de buscas por números e restringiu a visualização de fotos e frases de perfil de desconhecidos.
Posicionamento do WhatsApp
Procurado, o WhatsApp informou que a colaboração com a universidade identificou uma técnica inédita de enumeração e que não foram encontradas evidências de exploração da falha por agentes mal-intencionados.
Em nota oficial, Nitin Gupta, vice-presidente de Engenharia do WhatsApp, comentou o caso:
“Somos gratos aos pesquisadores da Universidade de Viena pela parceria responsável e diligência no âmbito do nosso programa de Bug Bounty. Essa colaboração identificou com sucesso uma técnica de enumeração inédita que superou nossos limites previstos, permitindo que os pesquisadores coletassem informações básicas disponíveis publicamente. Já estávamos trabalhando em sistemas anti-scraping líderes do setor, e este estudo foi fundamental para testar e confirmar a eficácia imediata dessas novas defesas”.
Gupta reforçou ainda que as mensagens dos usuários permaneceram privadas e que “nenhum dado não público esteve acessível aos pesquisadores”.
