Hack Alerta

Vulnerabilidade que permitia listar 3,5 bilhões de contas do WhatsApp já foi corrigida, dizem pesquisadores

Por Redação Hack Alerta Publicado em 20/11/2025 10:02 Vazamento de dados Tempo de leitura: 3 min

Pesquisadores demonstraram uma falha de enumeração que poderia permitir a raspagem de identificadores de até 3,5 bilhões de contas do WhatsApp; segundo o SecurityWeek, a vulnerabilidade já foi corrigida, mas expõe riscos de engenharia social e campanhas em larga escala.

Pesquisadores demonstraram uma falha que permitia enumerar contas do WhatsApp em grande escala — a exploração, segundo relato do SecurityWeek, poderia ter permitido a coleta de identificadores para até 3,5 bilhões de contas; o problema já foi corrigido pelos responsáveis pela plataforma.

Panorama e prova de conceito

O relatório do SecurityWeek descreve uma vulnerabilidade de enumeração que pesquisadores conseguiram demonstrar capaz de identificar se um número de telefone estava registrado no WhatsApp. A falha permitia, em escala, “scraping” (raspagem) de registros e, segundo a matéria, um teste controlado indicou potencial para atingir 3,5 bilhões de contas — o universo aproximado de usuários da plataforma.

Vetor e técnica

As fontes indicam que a vulnerabilidade permitia a verificação massiva de registros por meio de consultas automatizadas que retornavam diferença de comportamento entre números registrados e não registrados. O texto do SecurityWeek diz que a falha foi demonstrada e já tratada — ou seja, a plataforma remediou o problema após a divulgação responsável.

Impacto e riscos práticos

  • Privacidade: a enumeração em massa expõe quais números estão ativos no serviço; para indivíduos e empresas isso facilita engenharia social, spear‑phishing e campanhas dirigidas.
  • Escala: um vetor que permita verificação automatizada em grande escala aumenta dramaticamente a eficiência de atores maliciosos na construção de listas de vítimas.

As fontes não descrevem exploração demonstrada “in the wild” contra usuários reais além dos testes controlados dos pesquisadores, nem fornecem números de incidentes confirmados decorrentes da vulnerabilidade antes do patch.

Mitigação adotada e recomendações

O SecurityWeek informa que a falha já foi corrigida pela equipe responsável pelo WhatsApp. Como medidas operacionais imediatas, as organizações podem:

  • Monitorar tentativas de verificação/anomalias no tráfego originado por IPs externos que efetuem consultas em massa.
  • Adotar proteções contra scraping em serviços que ofereçam integração com números telefônicos (rate limiting, CAPTCHAs, detecção de automação).
  • Reforçar campanhas de conscientização para usuários sobre engenharia social via mensagens que simulam contatos confiáveis.

Limitações das evidências

O relatório não detalha o mecanismo técnico interno corrigido (por exemplo, endpoints específicos ou strings de resposta) nem aponta CVEs associados. Tampouco há indicação de que a vulnerabilidade tenha sido amplamente explorada antes da correção.

Relevância para defesa

Mesmo após correção, a escala do risco indicado (potencial para 3,5 bilhões de contas) serve como lembrete da importância de projetar APIs e respostas de serviço com cuidado para não vazar estados que permitam enumeração. Equipes de TI e segurança que mantêm integrações com serviços de mensageria devem validar controles anti‑scraping e rever políticas de rate limiting.

Baseado em publicação original de SecurityWeek
Tags: #whatsapp #scraping #enumeration #privacy #api #rate-limiting #securityweek #patch #telecom
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar