Um grupo de pesquisadores da Universidade de Viena revelou uma das maiores exposições de dados já documentadas em um serviço digital: números de telefone e informações públicas de 3,5 bilhões de usuários do WhatsApp, obtidos via um mecanismo simples da própria plataforma.
O estudo descreve que o recurso de descoberta de contatos, que verifica automaticamente se um número está cadastrado, foi explorado bilhões de vezes para mapear quase toda a base global. Entre esses números, 57% tiveram acesso à foto de perfil e 29% ao texto público associado à conta.
Os autores afirmam que o resultado seria maior vazamento de dados da história se não fosse parte de uma pesquisa realizada de forma responsável. A falha, no entanto, não é inédita: alertas sobre enumeração de números já existiam desde 2017, e o aplicativo não havia implementado limitações para consultas em larga escala, especialmente na versão web.
A Meta, dona do WhatsApp, divulgou que corrigiu o problema em outubro, após receber o alerta em abril, e afirmou que os dados expostos eram dados básicos públicos, visíveis apenas quando o usuário permite. A empresa também alegou não haver evidências de uso malicioso e reiterou que as mensagens continuam protegidas pela criptografia de ponta a ponta.
Segundo os pesquisadores, não houve mecanismo robusto para impedir a coleta, e o número de telefone estava totalmente exposto mesmo quando alguns campos eram privados. A exposição variou por país: nos Estados Unidos, de 137 milhões de números coletados, 44% exibiam fotos de perfil e 33% tinham textos públicos; na Índia e no Brasil, a taxa de exposição foi ainda maior, com 62% e 61% respectivamente.
A pesquisa também identificou milhões de usuários ativos em países onde o WhatsApp é proibido, como China (2,3 milhões) e Myanmar (1,6 milhão). Além disso, os autores analisaram chaves criptográficas públicas e encontraram milhares de chaves idênticas, o que sugere falhas de implementação ou uso de clientes não oficiais por golpistas.
