Pesquisadores da Universidade de Viena identificaram uma falha no mecanismo de busca do WhatsApp que, durante anos, permitiu a coleta em larga escala dos números de celular dos usuários.
A vulnerabilidade, segundo o estudo divulgado, expôs dados básicos de até 3,5 bilhões de contas, número superior aos 2 bilhões informados oficialmente pelo WhatsApp.
A brecha estava no recurso que permite iniciar conversas com contatos não salvos na agenda. Sem limite para consultas sucessivas, a equipe conseguiu executar até 7.000 buscas por segundo, sem qualquer bloqueio da plataforma.
De acordo com a pesquisa, além de identificar quais números estavam ativos, também foi possível acessar fotos de perfil e frases de status de grande parte desses usuários. As mensagens trocadas, porém, permaneceram protegidas pela criptografia de ponta a ponta.
“Censo do WhatsApp”
Entre dezembro de 2024 e abril de 2025, os pesquisadores utilizaram um software próprio para se comunicar diretamente com os servidores do WhatsApp, testando 63 bilhões de combinações de números em 245 países e contemplando variações de formatação, como o dígito 9 acrescentado no Brasil.
Apesar do elevado volume de consultas, a plataforma não bloqueou os endereços IP nem impôs limites de taxa, o que permitiu mapear contas ativas em todo o mundo.
Com os dados coletados, foi elaborado um levantamento global. Segundo o estudo:
- O Brasil tem 206 milhões de usuários ativos, sendo o terceiro maior mercado do aplicativo.
- Sessenta e um por cento dos brasileiros tiveram suas fotos de perfil identificadas.
- 81,4% utilizam Android e 18,6% usam iPhone.
O relatório alerta que, caso explorada por agentes maliciosos, a falha poderia ser empregada para envio massivo de spam, golpes, campanhas de phishing e chamadas automatizadas.
Os autores do estudo afirmam ter excluído todos os dados antes de divulgar os resultados.
WhatsApp foi alertado
Os pesquisadores relatam ter informado a Meta, proprietária do WhatsApp, em setembro de 2024, sem obter resposta imediata. Somente em setembro de 2025, quando avisaram da intenção de publicar o estudo, a empresa passou a tratar o caso como prioridade.
Após as comunicações, a plataforma limitou o número de buscas possíveis, restringiu a visualização de fotos e status por usuários desconhecidos e reforçou mecanismos contra raspagem automatizada.
Em nota assinada por Nitin Gupta, vice‑presidente de Engenharia do WhatsApp, a empresa agradeceu a colaboração dos pesquisadores e declarou não ter encontrado indícios de exploração maliciosa da vulnerabilidade.
Falha expôs dados públicos
O WhatsApp ressaltou que os pesquisadores acessaram apenas informações públicas, como número, foto e status, e que nenhum dado privado foi comprometido. Especialistas, contudo, afirmam que a divulgação desse tipo de informação já é suficiente para viabilizar ataques direcionados.
A empresa afirmou que a criptografia de ponta a ponta jamais foi comprometida.
O comunicado também destacou que a técnica utilizada superou limites até então previstos e que o estudo ajudou a validar o conjunto mais recente de defesas anti‑raspagem.
A Meta informa que segue monitorando tentativas de enumeração e coleta automatizada.
