Uma Porta Aberta por Oito Anos

No universo da tecnologia, algumas das falhas mais impactantes não vêm de ataques complexos, mas de portas que simplesmente foram esquecidas abertas. É o caso de uma vulnerabilidade colossal no WhatsApp, que permitiu a um grupo de pesquisadores da Universidade de Viena e da SBA Research compilar uma lista com dados de 3,5 bilhões de usuários ativos. A parte mais impressionante dessa história? A Meta, empresa-mãe do aplicativo, foi alertada sobre essa mesma brecha em 2017, mas uma correção completa só foi implementada em 2025.

A falha residia em algo fundamental para o funcionamento do app: a descoberta de contatos. Usando uma API chamada 'GetDeviceList', que serve para verificar se um número de telefone está associado a uma conta, os pesquisadores criaram um sistema para bombardear os servidores do WhatsApp com perguntas. E o WhatsApp, diligentemente, respondeu a todas elas, sem impor limites.

O Leilão de Dados que Nunca Aconteceu

Imagine um programa de auditório onde a pergunta é sempre a mesma: “Este número tem WhatsApp?”. Agora, imagine fazer essa pergunta 100 milhões de vezes por hora. Foi exatamente o que a equipe de pesquisa fez. Segundo o relatório publicado, eles operaram a partir de um único servidor universitário com apenas cinco contas autenticadas, esperando a qualquer momento serem bloqueados. Mas o bloqueio nunca veio. O WhatsApp não limitou o tráfego, não restringiu o IP e, aparentemente, não notou a atividade massiva vinda de um único ponto.

Com essa liberdade, os pesquisadores testaram um conjunto global de 63 bilhões de números de telefone potenciais. O resultado foi um banco de dados com 3,5 bilhões de contas ativas, que, se estivesse em mãos mal-intencionadas, seria classificado como o maior vazamento de dados da história. O estudo forneceu uma radiografia sem precedentes do uso global da plataforma, com números impressionantes:

  • Índia: 749 milhões de usuários
  • Indonésia: 235 milhões de usuários
  • Brasil: 206 milhões de usuários
  • Estados Unidos: 138 milhões de usuários
  • Rússia: 133 milhões de usuários

Curiosamente, milhões de contas ativas foram encontradas em países onde o aplicativo era oficialmente banido na época, como China e Irã, demonstrando a penetração da plataforma mesmo sob restrições governamentais.

Mais que um Número: Sua Foto e Recado Expostos

A coleta de dados não parou nos números de telefone. Usando outros endpoints da API, os pesquisadores conseguiram extrair informações adicionais. Em um teste focado em números dos EUA, eles baixaram 77 milhões de fotos de perfil sem qualquer tipo de limitação, muitas das quais exibiam rostos claramente identificáveis. Além disso, o texto do campo “Sobre” (o antigo status) também estava acessível, revelando em muitos casos detalhes pessoais e links para outras redes sociais.

Para dar uma dimensão do perigo, a pesquisa comparou seus achados com o famoso vazamento de dados do Facebook de 2021. Eles descobriram que 58% dos números de telefone vazados naquela época ainda estavam ativos no WhatsApp em 2025. Isso demonstra como dados expostos uma vez podem permanecer relevantes para atividades maliciosas por anos a fio.

A Resposta da Meta: "Informação Pública Básica"

Confrontada com os resultados, a Meta classificou os dados expostos como “informação pública básica”. A empresa argumentou que fotos de perfil e textos de recado permaneceram ocultos para usuários que haviam configurado suas opções de privacidade corretamente e que não havia evidências de que atores maliciosos tivessem explorado a falha. No entanto, o fato de que a vulnerabilidade foi reportada pela primeira vez em 2017 e só totalmente corrigida em outubro de 2025, após o novo alerta dos pesquisadores em abril, levanta sérias questões. Oito anos é tempo suficiente para um bug se formar no ensino fundamental e quase terminar o ensino médio.

Este episódio, embora conduzido de forma responsável por acadêmicos, serve como um lembrete. Ele se junta a uma longa lista de incidentes semelhantes envolvendo APIs desprotegidas, como os que afetaram o Twitter e a Dell. A conclusão é simples: para cada porta que a tecnologia abre, é preciso garantir que alguém se lembre de colocar uma tranca. Neste caso, a porta ficou aberta por quase uma década, expondo a vida digital de metade do planeta.