Pesquisadores da Universidade de Viena identificaram uma falha no WhatsApp que, por anos, permitiu a coleta em larga escala de números de celular de usuários do aplicativo. A vulnerabilidade estava no sistema de busca criado para iniciar conversas com contatos não salvos. Sem limites de consulta, essa ferramenta possibilitou a varredura automática de números e a criação de um banco global com 3,5 bilhões de perfis ativos.
O estudo afirma que, além dos números, foi possível acessar fotos e frases de perfil de grande parte dos usuários. As mensagens seguiram protegidas pela criptografia, mas os dados expostos permitiam mapear países, sistemas operacionais e padrões de uso. Com os números identificados, os pesquisadores conseguiram montar uma espécie de censo do WhatsApp. Os dados apontam que o Brasil tem 206 milhões de usuários ativos, o terceiro maior volume do mundo.
Vulnerabilidade ainda persiste
O levantamento foi feito por meio de enumeração, técnica em que um sistema testa intervalos de números até encontrar contas válidas. Os autores afirmam ter realizado cerca de 7 mil buscas por segundo, sem bloqueios automáticos ou restrições efetivas por parte do WhatsApp. A partir disso, concluíram que o aplicativo continuava vulnerável mesmo após medidas anunciadas pela empresa para limitar esse tipo de varredura.
Os testes ocorreram entre dezembro de 2024 e abril de 2025. Os pesquisadores utilizaram um conjunto global de padrões numéricos, incluindo ajustes locais, como o acréscimo do dígito 9 nos celulares brasileiros, para filtrar 63 bilhões de combinações possíveis em 245 países. A Meta, controladora do WhatsApp, foi informada em 2024, mas só passou a responder com mais frequência após ser comunicada da publicação do artigo, em setembro de 2025.
Suscetibilidade a golpes
Com o alerta, o WhatsApp implementou novos limites de buscas e reduziu a quantidade de visualizações permitidas para fotos e frases de perfil de usuários desconhecidos. Segundo a empresa, os dados acessados eram informações públicas e não há evidências de uso mal-intencionado da falha. A plataforma agradeceu a cooperação dos pesquisadores e afirmou que eles apagaram os dados coletados antes da divulgação do estudo.
A pesquisa conclui que as informações expostas poderiam ser exploradas para golpes, campanhas de spam, ataques de phishing ou chamadas automáticas, já que permitem identificar usuários ativos, seus países e padrões de uso. O caso reacende o debate sobre proteção de dados em aplicativos de comunicação e sobre a necessidade de mecanismos mais robustos contra varreduras automatizadas.
