Da Redação
Uma vulnerabilidade recém-identificada permitiu a extração em massa de números de telefone, fotos de perfil e status de aproximadamente 3,5 bilhões de contas do WhatsApp — com o Brasil figurando entre os mais afetados. A gigante Meta Platforms é criticada por demorar seis meses após a notificação para corrigir a falha e por minimizar o impacto.
Uma falha estrutural no mecanismo de verificação de contatos do WhatsApp expôs informações de aproximadamente 3,5 bilhões de usuários em todo o mundo. A descoberta foi feita por pesquisadores da Universidade de Viena, que conseguiram automatizar a função de “descoberta de contatos” da plataforma e transformar um recurso cotidiano do aplicativo em uma enorme vulnerabilidade de privacidade.
A pesquisa revelou que, utilizando a versão web do WhatsApp e enviando consultas automatizadas, era possível testar combinações de números de telefone de maneira massiva e identificar quais deles estavam associados a contas ativas. Além disso, a vulnerabilidade permitia extrair informações públicas como foto de perfil, nome exibido pelo usuário e mensagens de status.
Segundo os pesquisadores, foi possível realizar dezenas de milhões de consultas por hora, o que levou à criação de um banco de dados global que identificou mais de 3,5 bilhões de contas. O Brasil, um dos maiores mercados do WhatsApp, apareceu com cerca de 206 milhões de números expostos, sendo que mais da metade permitia visualizar fotos de perfil publicamente.
Um problema estrutural, não um bug isolado
A falha não dependia de invasão de servidores, engenharia reversa complexa ou quebra de criptografia — ela explorava uma funcionalidade nativa do WhatsApp: o cruzamento entre a agenda do usuário e a indicação de quais contatos possuem conta no aplicativo.
Ao automatizar esse processo, os pesquisadores mostraram que o sistema foi projetado de forma permissiva demais, permitindo milhões de consultas em sequência sem mecanismos robustos de bloqueio, limite ou detecção automática.
Meta demorou seis meses para corrigir a vulnerabilidade
A empresa que controla o WhatsApp, Meta Platforms, foi notificada sobre o problema em abril de 2025. A correção, no entanto, só começou a ser aplicada em outubro do mesmo ano. A intervenção consistiu, principalmente, em limitar a quantidade de consultas possíveis por intervalo de tempo e criar barreiras contra o uso automatizado de ferramentas destinadas a sincronizar contatos.
Apesar da gravidade, a Meta afirmou que a falha teria permitido acesso apenas a “informações públicas básicas”, tentando reduzir a percepção de risco. Essa postura recebeu críticas de especialistas, que destacam que:
- Seis meses é um período excessivamente longo para corrigir uma vulnerabilidade de escala global.
- A empresa não notificou individualmente os usuários potencialmente afetados.
- A arquitetura do WhatsApp, baseada em número de telefone como identificador obrigatório, cria vulnerabilidades recorrentes.
A combinação dessas falhas de governança, segundo analistas, reforça a dependência dos usuários de plataformas privadas sem transparência e com baixo controle democrático.
Impacto real: privacidade, vigilância e manipulação
Embora não haja provas públicas de que a falha tenha sido explorada de forma massiva por agentes mal-intencionados, especialistas alertam que o risco é real — e pode ter ocorrido silenciosamente.
A extração massiva de números associados a contas de WhatsApp abre as portas para múltiplos abusos:
• Engenharia social e golpes
Combinando número, foto de perfil e nome do usuário, os criminosos podem produzir ataques mais convincentes, aumentando o índice de sucesso de golpes como clonagem de contas e phishing personalizado.
• Vigilância e rastreamento
Em países autoritários, governos e empresas de vigilância podem identificar dissidentes, ativistas e jornalistas apenas rastreando quem usa o aplicativo. Os pesquisadores encontraram contas ativas até mesmo em países onde o WhatsApp é formalmente proibido.
• Construção de bases de dados privadas
Empresas de marketing, inteligência comercial e partidos políticos podem cruzar informações extraídas com outros bancos de dados, ampliando perfis e reduzindo a privacidade dos usuários.
• Riscos geopolíticos e de soberania informacional
Países do Sul Global, como o Brasil, onde o WhatsApp é central na comunicação social, tornam-se ainda mais vulneráveis a estratégias de desinformação, psicopolítica e operações híbridas que utilizam dados massificados como ferramenta.
Brasil: o país mais vulnerável
O Brasil tem uma das maiores penetrações de WhatsApp do planeta: mais de 95% dos usuários de smartphone utilizam o aplicativo diariamente. A rotina nacional — comunicação pessoal, comunitária, familiar, profissional e até institucional — depende de uma plataforma privada estrangeira, baseada em dados sensíveis e difícil de auditar.
Essa vulnerabilidade expôs:
• a fragilidade estrutural da comunicação digital do país,
• a inexistência de alternativas soberanas,
• a dependência extrema de um único ecossistema,
• o risco de manipulação política em larga escala.
Especialistas destacam que, sem uma política nacional de soberania informacional, o Brasil se encontrará repetidamente exposto a crises de privacidade.
Como os usuários podem se proteger
Embora a falha tenha sido corrigida, algumas medidas reduzem riscos futuros:
• Definir foto de perfil como visível apenas para contatos.
• Restringir visibilidade do recado e do “visto por último”.
• Evitar adicionar desconhecidos à agenda — cada número salvo é uma porta aberta.
• Desconfiar de mensagens urgentes ou pedidos de dinheiro, mesmo vindos de contatos conhecidos.
• Ativar verificação em duas etapas.
Conclusão
A falha do WhatsApp que expôs dados de bilhões de usuários não é apenas um problema técnico: é um sintoma da crise estrutural das plataformas digitais. Trata-se de uma plataforma imprescindível para bilhões de pessoas, mas desenhada em arquitetura que privilegia conectividade e crescimento acelerado em detrimento da segurança e da privacidade.
Para países como o Brasil, que dependem massivamente do aplicativo, o episódio é um lembrete da urgência de uma política robusta de soberania informacional. O risco não está apenas no conteúdo das mensagens — mas na camada oculta de metadados, identidades e conexões invisíveis que, quando expostas, se tornam armas.
