Resumo

• Pesquisadores da Universidade de Viena identificaram 3,5 bilhões de números de telefone no WhatsApp devido a uma falha de segurança.
• O Brasil teve 206 milhões de contas expostas, com 61% das fotos de perfil visíveis.
• A Meta corrigiu a vulnerabilidade em outubro, após ser alertada em abril, mas minimizou a gravidade do vazamento.

Uma falha de segurança no sistema de descoberta de contatos do WhatsApp permitiu que um grupo de pesquisadores da Universidade de Viena compilasse um banco de dados com 3,5 bilhões de números de telefone cadastrados na plataforma.

A brecha, que explorava a facilidade do app em encontrar novos usuários, detectou números de telefone, fotos de perfil e recados de status de grande parcela de usuários do mundo todo. O Brasil, como um dos maiores mercados do mensageiro, teve 206 milhões de contas identificadas, sendo que 61% delas tinham foto de perfil visíveis para qualquer um.

A investigação também encontrou milhões de contas ativas em países onde o app é oficialmente banido, como a China (2,3 milhões) e Mianmar (1,6 milhão). Segundo a Wired, a preocupação dos pesquisadores é de que governos desses lugares poderiam utilizar a mesma técnica para identificar e perseguir cidadãos.

Como a lista foi criada?

Para gerar o banco de dados, os pesquisadores se aproveitaram do recurso do WhatsApp que informa instantaneamente se determinado número salvo na agenda tem uma conta no mensageiro. Eles automatizaram o processo, testando bilhões de combinações de números possíveis através da versão web do aplicativo.

Sem barreiras de velocidade, eles conseguiram verificar cerca de 100 milhões de números por hora. À Wired, os pesquisadores afirmaram que essa foi “a exposição mais extensa de números de telefone e dados de usuários já documentada”.

Parte dos usuários espera justamente mais segurança com dados com a chegada dos nomes de usuário ao WhatsApp. Entretanto, a Meta não divulgou, até o momento, se o uso de número de celular continuará sendo obrigatório no app.

Após a descoberta e a conclusão do trabalho, os pesquisadores deletaram a cópia dos dados e alertaram a Meta em abril. Seis meses depois, em outubro, a empresa corrigiu a vulnerabilidade, implementando limites mais rígidos.

Meta diz que dados já eram públicos

Em comunicado, a Meta agradeceu aos pesquisadores, que submeteram a descoberta através do programa de recompensa por bugs da empresa.

No entanto, a gigante da tecnologia minimizou a gravidade do vazamento, classificando os dados coletados como “informações básicas publicamente disponíveis”, uma vez que fotos e recados só foram capturados de usuários que optaram por não restringir a privacidade nas configurações.

“Nós – assim como muitos outros apps de mensagens – usamos números de telefone para descoberta de contatos porque é importante que as pessoas possam encontrar e conversar facilmente com quem conhecem. Tratar a descoberta de contatos por número como uma falha fundamental é não entender as expectativas e padrões de comunicação dos usuários. Todas as principais plataformas de mensagens – Signal, Telegram, iMessage – usam números de telefone para descoberta de contatos pelo mesmo motivo: é assim que bilhões de pessoas preferem se conectar.

Como os próprios pesquisadores afirmam, eles só conseguiram ver informações publicamente acessíveis – fotos de perfil e o texto do ‘Sobre’ — caso os usuários escolhessem tornar essas informações públicas para ‘todos’ no WhatsApp.“

– WhatsApp, em nota

A empresa afirma ainda que não encontrou evidências de que atores mal-intencionados tenham abusado dessa mesma falha antes da correção. Vale lembrar que a companhia foi denunciada, em setembro desse ano, por ignorar deliberadamente falhas de segurança e privacidade no aplicativo.

Por fim, a Meta questiona o uso do termo “exposição” para designar o que foi divulgado pelos pesquisadores.

Pesquisadores encontraram 3,5 bilhões de números expostos no WhatsApp