Hack Alerta

Falha no WhatsApp expôs 3,5 bilhões de números e perfis públicos

Por Redação Hack Alerta Publicado em 19/11/2025 06:01 Vazamento de dados Tempo de leitura: 5 min

Pesquisadores demonstraram que a ferramenta de descoberta de contatos do WhatsApp permitiu a coleta de 3,5 bilhões de números e dados públicos entre dezembro/2024 e abril/2025. O estudo usou libphonegen e um cliente XMPP modificado para sondar 63 bilhões de números, registrando 56,7% de perfis com informações públicas e 2,9 milhões de casos de reuso de chaves.

Uma falha no mecanismo de descoberta de contatos do WhatsApp permitiu que pesquisadores coletassem 3,5 bilhões de números e informações públicas associadas em um levantamento global.

Descoberta e panorama

Um estudo conduzido entre dezembro de 2024 e abril de 2025 demonstrou que a ferramenta de descoberta de contatos do WhatsApp pode ser massivamente automatizada: usando apenas cinco contas autenticadas e um servidor universitário, os autores sondaram 63 bilhões de números potenciais e identificaram 3,456,622,389 contas ativas (3,5 bilhões) em menos de seis meses.

Abordagem técnica

Os pesquisadores empregaram o gerador de números libphonegen para criar números realistas em 245 países e um cliente open‑source modificado que interage com o protocolo XMPP do WhatsApp. Essa combinação permitiu checar presença no serviço e coletar metadados públicos — fotos de perfil, textos "about", timestamps e, em parte dos casos, chaves públicas e prekeys.

O relatório indica que 56,7% das contas retornaram informações públicas (por exemplo, foto) e que 29,3% exibiam textos "about" com dados possivelmente sensíveis, como posições políticas, filiações religiosas ou links para outras redes.

Fragilidades específicas identificadas

  • Falta de rate limiting robusto no fluxo de descoberta de contatos, que permitiu taxas de sondagem superiores a 100 milhões de verificações por hora.
  • Casos de reutilização de chaves públicas: o estudo reporta 2,9 milhões de ocorrências de reuso de chaves (identity/prekeys), um comportamento que pode comprometer garantias criptográficas se explorado por clientes não oficiais.
  • Exemplo extremo citado: 20 números nos EUA compartilhando uma chave composta apenas por zeros, sugerindo implementações quebradas ou fraude.

Impacto e quem é afetado

O levantamento é global: o relatório lista 245 países e mostra que Índia, Indonésia e Brasil concentraram grandes volumes de contas (o Brasil aparece com 206,949,224 contas, ~5,99% do total). Regiões onde perfis são mais frequentemente públicos — o estudo cita West Africa com 80% dos perfis públicos — enfrentam risco ampliado de doxxing, golpes e engenharia social.

Contas comerciais também aparecem no conjunto: 9% das entradas identificadas eram WhatsApp Business, classes de conta que tendem a expor campos adicionais via funcionalidades voltadas ao comércio.

Resposta da Meta e estado atual

A Meta reconheceu o trabalho via seu programa de bug bounty em abril de 2025 e implementou limitações de taxa mais rígidas em outubro de 2025. A empresa afirmou que os dados já eram, em parte, públicos e que as mensagens continuam encriptadas; segundo o relatório, não havia evidência pública de exploração maliciosa detectada pelos autores.

Os pesquisadores também apagaram o conjunto de dados coletado ao publicar o estudo e ressaltaram que perfis configurados como privados limitam exposição.

Riscos práticos e vetores de abuso

De acordo com os achados, a agregação em escala de dados "públicos" cria perfis sombra que podem servir a campanhas de phishing, SIM‑swap, doxxing e outras fraudes direcionadas. A sobreposição com vazamentos prévios é destacada: números expostos em brechas anteriores, como o vazamento de 500 milhões de registros do Facebook em 2021, permanecem ativos em muitos casos e potencialmente ampliam o alcance de campanhas de engenharia social.

Limites das informações

O estudo documenta o que foi coletado mas não apresenta evidência de que atores maliciosos tenham usado a técnica em larga escala antes da divulgação acadêmica; as fontes não detalham casos confirmados de exploração criminosa ligada diretamente a essa pesquisa.

Mitigações recomendadas e impacto regulatório

Entre as medidas práticas citadas pelos autores e por analistas, estão: configurar perfis como privados, evitar publicar informações sensíveis em campos "about" ou status e monitorar sinais de fraude (tentativas de SIM‑swap, acessos estranhos). O relatório também sugere que controles anti‑scraping mais avançados (CAPTCHA, análise comportamental) e auditoria regulatória podem reduzir risco sistêmico.

Reguladores na Europa (GDPR) e outros blocos podem intensificar questionamentos sobre práticas de proteção de dados da Meta, segundo o próprio texto do relatório.

O que falta saber

Não há, nas fontes consultadas, detalhes públicos sobre exploits reais em produção que tenham usado exatamente esse método antes da divulgação, nem sobre vulnerabilidades específicas de versões de clientes oficiais que permitiriam extração de chaves privadas. O relatório aponta apenas a presença de chaves públicas e prekeys reutilizadas e a possibilidade teórica de abuso por clientes não oficiais.

Conclusão

O estudo evidencia que mecanismos de conveniência, quando desprotegidos contra automação, transformam metadados "públicos" em uma base para ataques com alto ganho de escala. Para organizações e profissionais de segurança no Brasil e globalmente, a lição prática é revisar exposições públicas, endurecer controles de conta e exigir melhorias técnicas em plataformas com base em usuários bilionários.

Baseado em publicação original de Cyber Security News
Tags: #whatsapp #brasil #privacidade #enumeração #scraping #sim-swap #phishing #business #encryption
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar