Uma pesquisa de especialistas em ciência da computação da Universidade de Viena, na Áustria, revelou uma falha de segurança no WhatsApp que, durante anos, possibilitou a qualquer pessoa identificar números de celular dos usuários da plataforma. A falha estava relacionada ao sistema de busca utilizado para iniciar novas conversas no aplicativo.

Brecha expôs dados de bilhões de usuários

O estudo detalha que a ausência de limites para consultas na busca facilitou a coleta em larga escala de números de celular de até 3,5 bilhões de contas do WhatsApp. O número é maior do que os 2 bilhões oficialmente reportados pela empresa. Além disso, os pesquisadores conseguiram identificar imagens e frases de perfil de boa parte desses usuários. As mensagens trocadas no app permaneceram protegidas, graças à criptografia implementada.

Coleta de dados foi feita por enumeração

Segundo o estudo, a extração dos dados foi possível por meio de enumeração, quando é testado um intervalo de números para localizar contas ativas. Trata-se de uma modalidade de raspagem de dados, ou scraping, prática comum para coletar informações em plataformas digitais.

Embora a limitação da taxa [de quantidade de buscas] seja uma defesa padrão contra abusos, revisamos o problema e mostramos que o WhatsApp continua altamente vulnerável à enumeração em larga escala

No experimento, os pesquisadores conseguiram realizar até 7 mil consultas por segundo sem bloqueio efetivo ou limitação por parte do WhatsApp, e informaram ter excluído todo o material coletado antes da publicação do artigo.

Medidas de segurança só vieram após alertas

A equipe responsável disse que recomendou melhorias de segurança à plataforma. Algumas dessas atualizações foram implementadas, mas apenas depois de insistência dos pesquisadores. O WhatsApp, ao ser procurado, agradeceu a colaboração na identificação do problema, e declarou não ter registros de que pessoas mal-intencionadas tenham explorado a vulnerabilidade.

Já estávamos trabalhando em sistemas anti-scraping líderes do setor, e este estudo foi fundamental para testar e confirmar a eficácia imediata dessas novas defesas

WhatsApp, em nota assinada por seu vice-presidente de Engenharia, Nitin Gupta

'Censo' global do WhatsApp com base nos dados

A vulnerabilidade também permitiu que os pesquisadores criassem um verdadeiro "Censo do WhatsApp", levantando estatísticas como o número de usuários por país, os sistemas operacionais utilizados e a quantidade de perfis com foto disponível.

De acordo com o estudo, o Brasil conta com 206 milhões de usuários ativos, sendo o terceiro maior mercado do aplicativo, atrás de Índia (749 milhões) e Indonésia (235 milhões). No país, 61% dos usuários têm foto de perfil, e a grande maioria utiliza Android (81,4%), enquanto 18,6% acessam pelo iPhone.

Caso sejam acessados por agentes maliciosos, esses dados podem ser explorados para campanhas de spam, ataques de phishing ou chamadas automáticas, representando sérios riscos à privacidade e à segurança

Como foi realizado o teste

Entre dezembro de 2024 e abril de 2025, os pesquisadores usaram um programa alternativo para conectar-se aos servidores do WhatsApp e fazer rodadas de enumeração de números de telefone. Para filtrar as buscas, eles utilizaram uma biblioteca do Google com padrões internacionais de telefonia, identificando até 63 bilhões de números potenciais em 245 países. No caso do Brasil, consideraram a mudança recente na numeração, incluindo o nono dígito, mas também mantiveram o padrão antigo para contas que não atualizaram o formato.

Os pesquisadores esperavam que o sistema bloqueasse ou restringisse buscas em excesso realizadas por um único servidor, mas isso não aconteceu.

Para nossa surpresa, nem nosso endereço IP, nem nossas contas foram bloqueadas pelo WhatsApp. Além disso, não tivemos nenhuma limitação de taxa [de busca] proibitiva

estudo dos pesquisadores

Resposta e ações da Meta após o alerta

Os especialistas afirmaram ter comunicado a Meta, empresa controladora do WhatsApp, sobre os riscos em setembro de 2024, antes mesmo de finalizar os testes. Inicialmente, a resposta foi de que o alerta seria analisado, mas sem maiores desdobramentos. Apenas em setembro de 2025, após aviso de que publicariam os resultados em artigo científico, a companhia demonstrou mais preocupação e passou a tomar providências.

Comunicado oficial do WhatsApp

Somos gratos aos pesquisadores da Universidade de Viena pela parceria responsável e diligência no âmbito do nosso programa de Bug Bounty. Essa colaboração identificou com sucesso uma técnica de enumeração inédita que superou nossos limites previstos, permitindo que os pesquisadores coletassem informações básicas disponíveis publicamente. Já estávamos trabalhando em sistemas anti-scraping líderes do setor, e este estudo foi fundamental para testar e confirmar a eficácia imediata dessas novas defesas. É importante ressaltar que os pesquisadores já deletaram de forma segura os dados coletados como parte do estudo, e não encontramos evidências de que agentes mal-intencionados tenham explorado esse vetor. Como lembrete, as mensagens dos usuários permaneceram privadas e seguras graças à criptografia de ponta a ponta padrão do WhatsApp, e nenhum dado não público esteve acessível aos pesquisadores

Nitin Gupta, VP de Engenharia do WhatsApp

Informações relatadas pelo portal G1.