Brecha no WhatsApp permitiu coletar, sem qualquer barreira, números de telefone de até 3,5 bilhões de contas, revelaram pesquisadores da Universidade de Viena em estudo publicado nesta quarta-feira (19).
Segundo o levantamento, o mecanismo de busca interno do aplicativo – usado para iniciar conversas com pessoas fora da agenda – podia ser explorado por meio de uma técnica de enumeração de números, também conhecida como scraping, sem sofrer bloqueios eficazes da plataforma.
Brecha no WhatsApp expôs números de 3,5 bi de usuários
Entre dezembro de 2024 e abril de 2025, os especialistas austríacos testaram sequencialmente 63 bilhões de combinações de telefones em 245 países. Em alguns momentos, chegaram a realizar 7.000 consultas por segundo a partir de um único servidor, sem terem o IP ou as contas suspensas.
Como a falha era explorada
A ausência de um limite de requisições permitia verificar quais números possuíam conta ativa no mensageiro. Além dos telefones, foi possível capturar fotos e frases de perfil, embora as mensagens permanecessem protegidas pela criptografia de ponta a ponta.
Impacto no Brasil
O “censo” elaborado a partir da coleta apontou o Brasil como o terceiro maior mercado do aplicativo, com 206 milhões de usuários ativos. Desse total, 61% mantinham a foto de perfil pública, 81,4% usavam Android e 18,6%, iPhone.
Riscos para a privacidade
Com o banco de dados em mãos, agentes mal-intencionados poderiam disparar campanhas de spam, golpes de phishing ou automatizar chamadas. Os pesquisadores alertam que a combinação de telefone, foto e status visível amplia a eficiência de ataques dirigidos.
O que é scraping de dados?
Scraping é uma prática que consiste em vasculhar serviços on-line para extrair informações em massa. Embora não envolva violação direta de sistemas, viola termos de uso de grande parte das plataformas, justamente pelos riscos à privacidade dos usuários.
Resposta do WhatsApp
Em nota assinada pelo vice-presidente de Engenharia, Nitin Gupta, o WhatsApp agradeceu pela “parceria responsável” e afirmou não ter encontrado indícios de uso malicioso da brecha. A empresa disse que já trabalhava em “sistemas anti-scraping líderes do setor” e que o estudo ajudou a testar novas proteções implementadas a partir de setembro de 2025.
Imagem: Divulgação
Medidas adotadas pela plataforma
- Limitação do número de buscas por telefone em determinados intervalos de tempo;
- Restrição à visualização de fotos e frases de perfil por contatos desconhecidos;
- Monitoramento ativo de padrões suspeitos de requisições.
Como se proteger
Embora a falha já tenha recebido correções, usuários podem reforçar a segurança ao:
- Alterar a visibilidade da foto e do recado para “Somente meus contatos”;
- Evitar expor informações pessoais no status;
- Ativar a verificação em duas etapas;
- Desconfiar de mensagens ou ligações que solicitem códigos ou dados sensíveis.
Para saber mais sobre configurações de segurança no aplicativo e manter suas conversas protegidas, veja também o passo a passo publicado em nosso guia de privacidade no WhatsApp.
Especialistas reforçam que, mesmo com criptografia ponta a ponta, dados públicos como número e foto podem ser suficientes para fraudes. Ficar atento às configurações de privacidade e às novas opções liberadas pela plataforma é fundamental.
Continue acompanhando as últimas novidades sobre segurança digital e atualizações de aplicativos em nosso site.
Com informações de G1
