Por Redação O Sul | 19 de novembro de 2025
O WhatsApp teve por anos uma falha que permitiu a qualquer um descobrir números de celular de todos os usuários do aplicativo, apontaram pesquisadores de ciência da computação da Universidade de Viena, na Áustria.
Em um estudo, eles indicaram que a brecha estava na busca do WhatsApp que permite abrir novas conversas. Ela é fundamental para quem precisa iniciar uma troca de mensagens com quem não está em sua lista de contatos.
Mas a falta de limite para essa pesquisa permitiu coletar em massa números de celular dos 3,5 bilhões de usuários do app, disseram os pesquisadores. O número está acima dos 2 bilhões de usuários divulgados como número oficial pelo WhatsApp.
Segundo o estudo, também foi possível identificar fotos e frases de perfil de boa parte desses usuários, disseram os pesquisadores. As mensagens das conversas têm criptografia e, por isso, estão protegidas.
A coleta dos dados podia ser feita por enumeração, técnica que envolve testar um intervalo de números para encontrar contas ativas em uma plataforma. A prática também é conhecida como raspagem de dados (ou scraping).
“Embora a limitação da taxa (de quantidade de buscas) seja uma defesa padrão contra abusos, revisamos o problema e mostramos que o WhatsApp continua altamente vulnerável à enumeração em larga escala”, disse o estudo.
Os pesquisadores disseram ter feito 7 mil pesquisas de números de celular por segundo sem qualquer bloqueio ou limitação realmente eficazes por parte do WhatsApp.
E afirmaram que excluíram o material coletado antes da publicação do artigo.
Eles também recomendaram a adoção de medidas de segurança que foram adotadas em parte pela plataforma após certa insistência.
o WhatsApp agradeceu aos pesquisadores pela colaboração e disse não ter encontrado evidências de que agentes mal-intencionados exploraram essa brecha.
“Já estávamos trabalhando em sistemas anti-scraping líderes do setor, e este estudo foi fundamental para testar e confirmar a eficácia imediata dessas novas defesas”, disse o WhatsApp em nota assinada por seu vice-presidente de Engenharia, Nitin Gupta.
Censo do WhatsApp
A partir dos números, os pesquisadores conseguiram criar uma espécie de Censo do WhatsApp, com detalhes sobre números de usuário por país, sistemas operacionais usados e quantidade de fotos de perfil encontradas.
A pesquisa apontou, por exemplo, que o Brasil tem 206 milhões de usuários ativos e é o terceiro maior mercado do WhatsApp, atrás apenas da Índia, com 749 milhões de usuários, e da Indonésia, com 235 milhões.
Ainda segundo o estudo, foi possível identificar as fotos de perfil de 61% dos usuários no Brasil. E registrar que 81,4% dos usuários do aplicativo no país estão no Android e 18,6%, no iPhone.
“Caso sejam acessados por agentes maliciosos, esses dados podem ser explorados para campanhas de spam, ataques de phishing ou chamadas automáticas, representando sérios riscos à privacidade e à segurança”, diz o estudo.
Entre dezembro de 2024 e abril de 2025, os pesquisadores fizeram várias rodadas de enumeração de números de telefone por meio de um programa alternativo capaz de se conectar aos servidores do WhatsApp.
Para limitar a busca, eles usaram uma biblioteca do Google com padrões de telefone em vários países. A partir daí, chegaram ao total de 63 bilhões de números possíveis distribuídos em 245 países.
Essa lista também considerou questões locais, como a mudança no padrão no Brasil, em que o dígito 9 foi incluído no início do número de celular, mas várias contas de WhatsApp ainda têm o padrão antigo, com oito dígitos.
Em seguida, eles iniciaram as buscas por contas ativas no aplicativo. Essa etapa foi realizada em apenas um servidor, prática que eles esperavam que levaria a um bloqueio por parte da plataforma.
“Para nossa surpresa, nem nosso endereço IP, nem nossas contas foram bloqueadas pelo WhatsApp. Além disso, não tivemos nenhuma limitação de taxa (de busca) proibitiva”, afirmou o estudo.
Os pesquisadores disseram ter informado a Meta, dona do WhatsApp, sobre o risco de exploração de números de celular ainda em setembro de 2024, antes de testarem a técnica de enumeração.
Segundo eles, a Meta disse que encaminharia o alerta para seus engenheiros, mas não deu nenhuma atualização até agosto de 2025, quando ela voltou a dizer que o material seria enviado à sua equipe de especialistas.
Os autores do estudo afirmaram que, a partir de setembro de 2025, quando avisaram que o conteúdo seria publicado em um artigo, a Meta passou a demonstrar mais preocupação com a situação.
Eles afirmaram que o WhatsApp adotou um método para tentar limitar a quantidade de buscas por números de celular por pessoas mal-intencionadas sem prejudicar o uso normal do aplicativo.
A plataforma também restringiu a quantidade de vezes que um usuário pode ver fotos e frases de perfil de pessoas desconhecidas.
O WhatsApp disse que a colaboração identificou uma técnica de enumeração inédita que superou seus limites previstos, mas que elas permitiram acesso a informações disponíveis publicamente.
