Busca que permite iniciar conversas com quem não está na lista de contatos possibilitou a pesquisadores identificar 3,5 bilhões de perfis no aplicativo e criar uma espécie de Censo que poderia ser usado para aplicar golpes
O WhatsApp teve por anos uma falha que permitiu a qualquer um descobrir números de celular de todos os usuários do aplicativo (Foto Freepik)
O WhatsApp teve por anos uma falha que permitiu a qualquer um descobrir números de celular de todos os usuários do aplicativo, apontaram pesquisadores de ciência da computação da Universidade de Viena, na Áustria.
Em um estudo, eles indicaram que a brecha estava na busca do WhatsApp que permite abrir novas conversas. Ela é fundamental para quem precisa iniciar uma troca de mensagens com quem não está em sua lista de contatos.
Mas a falta de limite para essa pesquisa permitiu coletar em massa números de celular dos 3,5 bilhões de usuários do app, disseram os pesquisadores. O número está acima dos 2 bilhões de usuários divulgados como número oficial pelo WhatsApp.
Scraping
Segundo o estudo, também foi possível identificar fotos e frases de perfil de boa parte desses usuários, disseram os pesquisadores. As mensagens das conversas têm criptografia e, por isso, estão protegidas.
A coleta dos dados podia ser feita por enumeração, técnica que envolve testar um intervalo de números para encontrar contas ativas em uma plataforma. A prática também é conhecida como raspagem de dados (ou scraping).
“Embora a limitação da taxa [de quantidade de buscas] seja uma defesa padrão contra abusos, revisamos o problema e mostramos que o WhatsApp continua altamente vulnerável à enumeração em larga escala”, disse o estudo.
Os pesquisadores disseram ter feito 7 mil pesquisas de números de celular por segundo sem qualquer bloqueio ou limitação realmente eficazes por parte do WhatsApp.
E afirmaram que excluíram o material coletado antes da publicação do artigo.
Vulnerabilidade continua?
Eles também recomendaram a adoção de medidas de segurança que foram adotadas em parte pela plataforma após certa insistência
O WhatsApp agradeceu aos pesquisadores pela colaboração e disse não ter encontrado evidências de que agentes mal-intencionados exploraram essa brecha.
“Já estávamos trabalhando em sistemas anti-scraping líderes do setor, e este estudo foi fundamental para testar e confirmar a eficácia imediata dessas novas defesas”, disse o WhatsApp em nota assinada por seu vice-presidente de Engenharia, Nitin Gupta.
‘Censo do WhatsApp’
A partir dos números, os pesquisadores conseguiram criar uma espécie de Censo do WhatsApp, com detalhes sobre números de usuário por país, sistemas operacionais usados e quantidade de fotos de perfil encontradas.
A pesquisa apontou, por exemplo, que o Brasil tem 206 milhões de usuários ativos e é o terceiro maior mercado do WhatsApp, atrás apenas da Índia, com 749 milhões de usuários, e da Indonésia, com 235 milhões.
Ainda segundo o estudo, foi possível identificar as fotos de perfil de 61% dos usuários no Brasil. E registrar que 81,4% dos usuários do aplicativo no país estão no Android e 18,6%, no iPhone.
“Caso sejam acessados por agentes maliciosos, esses dados podem ser explorados para campanhas de spam, ataques de phishing ou chamadas automáticas, representando sérios riscos à privacidade e à segurança”, diz o estudo.
Como a brecha foi testada
Entre dezembro de 2024 e abril de 2025, os pesquisadores fizeram várias rodadas de enumeração de números de telefone por meio de um programa alternativo capaz de se conectar aos servidores do WhatsApp.
Para limitar a busca, eles usaram uma biblioteca do Google com padrões de telefone em vários países. A partir daí, chegaram ao total de 63 bilhões de números possíveis distribuídos em 245 países.
Essa lista também considerou questões locais, como a mudança no padrão no Brasil, em que o dígito 9 foi incluído no início do número de celular, mas várias contas de WhatsApp ainda têm o padrão antigo, com oito dígitos.
Em seguida, eles iniciaram as buscas por contas ativas no aplicativo. Essa etapa foi realizada em apenas um servidor, prática que eles esperavam que levaria a um bloqueio por parte da plataforma.
“Para nossa surpresa, nem nosso endereço IP, nem nossas contas foram bloqueadas pelo WhatsApp. Além disso, não tivemos nenhuma limitação de taxa [de busca] proibitiva”, afirmou o estudo.
O que o WhatsApp fez após o alerta
Os pesquisadores disseram ter informado a Meta, dona do WhatsApp, sobre o risco de exploração de números de celular ainda em setembro de 2024, antes de testarem a técnica de enumeração.
Segundo eles, a Meta disse que encaminharia o alerta para seus engenheiros, mas não deu nenhuma atualização até agosto de 2025, quando ela voltou a dizer que o material seria enviado à sua equipe de especialistas.
Os autores do estudo afirmaram que, a partir de setembro de 2025, quando avisaram que o conteúdo seria publicado em um artigo, a Meta passou a demonstrar mais preocupação com a situação.
Eles afirmaram que o WhatsApp adotou um método para tentar limitar a quantidade de buscas por números de celular por pessoas mal-intencionadas sem prejudicar o uso normal do aplicativo.
A plataforma também restringiu a quantidade de vezes que um usuário pode ver fotos e frases de perfil de pessoas desconhecidas.
O WhatsApp disse que a colaboração identificou uma técnica de enumeração inédita que superou seus limites previstos, mas que elas permitiram acesso a informações disponíveis publicamente.
°C 
