Uma falha de segurança crítica na infraestrutura do WhatsApp permitiu a exposição de aproximadamente 3,5 bilhões de números de telefone em escala global, conforme identificado por pesquisadores da Universidade de Viena. A vulnerabilidade explorou o sistema de sincronização de contatos do aplicativo, possibilitando a coleta automatizada de dados públicos dos usuários devido à ausência de restrições no número de verificações permitidas.
O problema técnico no WhatsApp não comprometeu a criptografia de ponta a ponta das mensagens, mas permitiu a raspagem (scraping) massiva de metadados. Utilizando uma técnica de enumeração, os acadêmicos conseguiram testar bilhões de combinações numéricas sequencialmente, acessando e compilando fotos de perfil e nomes de usuários que mantinham essas informações visíveis publicamente.
Embora a Meta tenha corrigido a brecha recentemente após o contato da equipe universitária, alertas sobre essa fragilidade específica no WhatsApp já haviam sido reportados à empresa ainda em 2017. Por mais de oito anos, a plataforma operou sem os mecanismos de rate-limiting (limitação de taxa) necessários para impedir que scripts automatizados verificassem a existência de contas em velocidade industrial.
Em resposta ao incidente, a controladora do WhatsApp afirmou que colaborou com o estudo para fortalecer suas defesas anti-scraping e assegurou que o banco de dados gerado pelos pesquisadores foi deletado com segurança. A empresa ressaltou ainda que não foram encontradas evidências de exploração maliciosa da falha por cibercriminosos antes da implementação da correção definitiva.
A mecânica da exposição: Enumeração ilimitada
Para compreender a gravidade da falha, é necessário analisar o funcionamento técnico da descoberta de contatos no aplicativo. O WhatsApp baseia sua rede social no número de telefone armazenado na agenda do dispositivo. Quando um usuário adiciona um novo contato, o servidor da aplicação confirma instantaneamente se aquele número possui uma conta ativa.
A vulnerabilidade residia na ausência de um limite rígido para essas consultas. Em sistemas seguros, aplica-se o conceito de rate-limiting, que bloqueia um usuário ou IP após um número suspeito de requisições em curto período. Sem essa barreira, os pesquisadores da Universidade de Viena desenvolveram scripts capazes de varrer faixas numéricas inteiras.
Durante os testes de prova de conceito, a equipe conseguiu validar e coletar dados de 30 milhões de números dos Estados Unidos em apenas 30 minutos. A facilidade de execução do exploit permitiu que o grupo escalasse o ataque para abranger praticamente toda a base de usuários do planeta, cruzando números de telefone com fotos de perfil e nomes reais definidos pelos usuários.
Negligência histórica e “Security by Design”
O aspecto mais controverso deste incidente no WhatsApp é a linha do tempo da vulnerabilidade. Relatórios de segurança indicam que a Meta (então Facebook) foi alertada sobre o perigo da enumeração de contatos em 2017. Naquela ocasião, pesquisadores independentes demonstraram que a falta de limitação nas requisições deixava a plataforma suscetível à raspagem de dados.
A persistência dessa falha por oito anos no WhatsApp levanta questões sobre a priorização de segurança na arquitetura do software. Aljosha Judmayer, um dos pesquisadores envolvidos no estudo recente, destacou a magnitude do risco, afirmando que, se esses dados tivessem caído nas mãos de agentes maliciosos, o evento teria se configurado como “o maior vazamento de dados da história” em volume de registros únicos.
A correção, que envolveu a implementação de limites de taxa mais agressivos para impedir a verificação massiva de números, só foi efetivada cerca de seis meses após o alerta do grupo austríaco, evidenciando um atraso significativo na resposta a um vetor de ataque conhecido.
Análise da resposta da Meta
Em comunicado ao site 9to5Mac, a Meta classificou a abordagem dos pesquisadores como uma “técnica de enumeração nova” que superou os limites pretendidos. A empresa declarou:
“Essa colaboração identificou com sucesso uma técnica de enumeração nova que ultrapassou nossos limites pretendidos, permitindo que os pesquisadores raspassem informações básicas publicamente disponíveis. Nós já estávamos trabalhando em sistemas anti-raspagem líderes do setor, e este estudo foi fundamental para testar o estresse e confirmar a eficácia imediata dessas novas defesas.”
Apesar do tom tranquilizador sobre a ausência de provas de abuso por criminosos para essa falha no WhatsApp, especialistas em segurança cibernética alertam que a detecção de scraping passivo pode ser complexa. A afirmação de que os dados eram “públicos” também transfere parte da responsabilidade para o usuário, embora a falha estrutural fosse a capacidade de agregar esses dados públicos em um banco de dados massivo e pesquisável.
Impacto para o usuário e medidas de proteção
Embora o conteúdo das conversas não tenha sido acessado, a exposição de metadados alimenta ecossistemas de fraude. Um banco de dados contendo a associação precisa entre números de telefone, fotos atuais e nomes reais é o recurso ideal para golpes de engenharia social, como:
- Clonagem de perfil: Uso da foto e nome para criar contas falsas e pedir dinheiro a familiares.
- Phishing direcionado: Envio de mensagens personalizadas que parecem legítimas bancárias ou de serviços.
Recomendação de Segurança: Diante da recorrência de incidentes de scraping, a configuração padrão de privacidade no WhatsApp deve ser restritiva. Recomenda-se alterar a visibilidade da “Foto do Perfil”, “Recado” e “Visto por Último” para “Apenas Contatos” nas configurações do aplicativo. Isso impede que, mesmo em caso de novas falhas de enumeração, seus dados pessoais sejam coletados por scripts automatizados.
Fonte: 9to5Google
