Sua Agenda Telefônica Global... e Exposta

Imagine que cada vez que você adiciona um número de telefone à sua agenda, o WhatsApp funciona como um diplomata digital, verificando silenciosamente se a outra parte está 'na rede' para iniciar uma conversa. Agora, imagine que esse diplomata é um tanto tagarela e não tem filtro. Foi exatamente essa a brecha que pesquisadores da Universidade de Viena exploraram para expor dados de praticamente toda a base de usuários do WhatsApp. Em um estudo de 2025, eles demonstraram como a função de 'descoberta de contatos' do aplicativo pode ser usada para extrair informações em massa, transformando uma ferramenta de conveniência em um gigantesco vazamento de dados em potencial.

O método, descrito como 'simples' por fontes como o TabNews, consistiu em testar sistematicamente bilhões de combinações de números de telefone. O resultado? Uma base de dados com 3,5 bilhões de números de usuários ativos. A falha permitiu não apenas confirmar a existência da conta, mas também visualizar informações públicas. Segundo o estudo austríaco, 57% desses perfis tinham a foto visível publicamente, e 29% exibiam um texto de status ou nome. No Brasil, o cenário é ainda mais revelador: dos 206 milhões de usuários brasileiros identificados, 61% mantinham suas fotos de perfil expostas, de acordo com dados publicados pelo Canaltech.

Um Déjà Vu de Segurança que Durou Oito Anos

O mais preocupante nesta história não é apenas a escala da exposição, mas o fato de que este não é um problema novo. A Meta, empresa-mãe do WhatsApp, foi alertada sobre essa mesma vulnerabilidade há oito anos. Em 2017, o pesquisador neerlandês Loran Kloeze já havia apontado o risco, sugerindo que a falha poderia ser usada em conjunto com sistemas de reconhecimento facial para criar um banco de dados de usuários. Na época, a resposta da empresa, então apenas Facebook, foi desconsiderar o achado, afirmando que as opções de privacidade funcionavam como esperado e que o caso não se qualificava para o programa de recompensas por bugs.

Avançando para 2025, a postura da Meta mudou, mas não sem uma dose de ironia. Após serem notificados pelos pesquisadores da Universidade de Viena em abril, a empresa agradeceu a contribuição, incluiu a descoberta em seu programa de recompensas e descreveu os dados como 'informação disponível publicamente'. A companhia afirmou à revista Wired que estava trabalhando em defesas contra a raspagem de dados e que o estudo acabou testando sua eficiência. No entanto, os próprios pesquisadores contestaram essa alegação, afirmando não terem encontrado qualquer impedimento ou limitação durante a coleta de dados, que chegou a verificar cerca de 100 milhões de números por hora. É como construir uma ponte e só colocar a placa de 'cuidado' depois que alguém prova que ela pode cair.

O Ecossistema Conectado e Seus Pontos Cegos

A interoperabilidade é a base dos ecossistemas digitais, mas cada ponto de conexão pode se tornar um vetor de ataque se não for devidamente protegido. O estudo revelou um fato curioso e alarmante: milhões de usuários foram encontrados em países onde o aplicativo é oficialmente banido, como China e Mianmar, provavelmente utilizando VPNs para contornar as restrições. Para essas pessoas, a exposição do número de telefone e a confirmação do uso do app não é apenas uma questão de privacidade, mas de segurança pessoal, já que governos poderiam, em tese, usar o mesmo método para identificar e rastrear dissidentes.

Após a divulgação da pesquisa, a Meta afirmou ter implementado um sistema de limitação de consultas para impedir a extração massiva de dados como a realizada no experimento. A empresa também declarou não ter encontrado evidências de que agentes mal-intencionados tenham se aproveitado da falha. Contudo, o episódio deixa uma questão no ar: por quanto tempo essa porta esteve aberta? Se pesquisadores conseguiram mapear quase toda a base de usuários, quem garante que outros não o fizeram antes, com propósitos menos nobres? A confiança em uma plataforma que conecta bilhões de pessoas diariamente depende da robustez de suas conexões mais básicas. Quando o protocolo de 'aperto de mão' digital é falho, toda a conversa que se segue fica comprometida.