A falha no WhatsApp identificada por pesquisadores da Universidade de Viena e da SBA Research revelou, nesta quarta-feira (19/11), que 3,5 bilhões de números de telefone podiam ser consultados em alta velocidade, usando apenas o recurso de descoberta de contatos. A brecha permitia mais de 100 milhões de consultas por hora, ritmo incomum para sistemas que precisam limitar requisições intensas. Esse volume trouxe atenção imediata para a forma como o aplicativo lida com informações públicas expostas no cadastro.
O estudo apontou que era possível coletar número de telefone, registros de data e hora e, quando configurados como públicos, foto de perfil e texto de status. Além disso, os pesquisadores afirmaram que a combinação desses dados possibilitava deduzir qual sistema operacional o usuário utilizava e o período desde o registro na plataforma.
Uma das vozes do projeto, Gabriel Gegenhuber, destacou em comunicado que “um sistema não deveria permitir tantas requisições vindas de uma única origem”. Essa crítica reforçou a percepção de que a estrutura de defesa não acompanhou o ritmo de consultas.
A Meta, responsável pelo aplicativo, informou que corrigiu a brecha e está desenvolvendo mecanismos para impedir extrações em larga escala. Segundo a empresa, “as mensagens permanecem privadas e seguras graças à criptografia de ponta a ponta”. Entretanto, como os dados acessados estavam configurados como visíveis, o risco associado recai sobre o potencial de uso mal-intencionado de listas de números. Termos como engenharia social, phishing, simulação de identidade, metadados, segurança digital e proteção de contas se tornam parte essencial dessa discussão.
Falha no WhatsApp e riscos ampliados
A escala da coleta despertou preocupações adicionais porque números de telefone são ponto inicial para diversos tipos de abordagem fraudulenta. Conforme o estudo, a leitura dos registros permitiria ainda inferir a quantidade de dispositivos conectados, o que incentiva ataques mais direcionados.
Nesse cenário, a situação evidencia como um simples identificador pode abrir portas para ações sofisticadas em ambientes conectados, exigindo vigilância constante dos usuários e das plataformas.
Ajustes da Meta
A Meta afirmou que não encontrou sinais de uso malicioso, e os pesquisadores garantiram que apagaram os dados obtidos. Ainda assim, o episódio amplia o debate sobre privacidade, controle de acesso, restrição de consultas, exposição pública, limites de tráfego, proteção de identidade e configurações de visibilidade. A discussão técnica ganhou força, já que a empresa precisará ajustar filtros, autenticação e camadas de verificação para evitar novas brechas.
Novos caminhos para reforçar confidencialidade
Essa falha grave expõe uma questão recorrente no setor: o uso do número de telefone como identificador central cria vulnerabilidade estrutural. No médio prazo, a tendência é que empresas ajustem modelos de autenticação e revisem protocolos que dependem de dados amplamente distribuídos.
A falha no WhatsApp reforça que proteção efetiva exige controles dinâmicos, limites mais rígidos e maior transparência sobre como cada informação é tratada, já que a expansão dos ataques pressiona plataformas a elevar padrões de defesa.
