Um grupo de pesquisadores da Universidade de Viena, na Áustria, mostrou em um artigo acadêmico que bastou utilizar um método simples de verificação de dados para extrair os números de telefone de 3,5 bilhões de usuários do WhatsApp. Para cerca de 57% desses usuários encontrados, eles também descobriram que podiam acessar suas fotos de perfil e, para outros 29%, o texto de seus perfis.
Apesar de um alerta anterior sobre a exposição desses dados pelo WhatsApp, feito por outro pesquisador em 2017, eles afirmam que a Meta, empresa controladora do serviço, ainda não limitou a velocidade ou o número de solicitações de busca de contatos que os pesquisadores podiam fazer interagindo com o aplicativo do WhatsApp baseado em navegador, permitindo que eles verificassem cerca de cem milhões de números por hora.
O resultado seria “o maior vazamento de dados da história, caso não tivesse sido compilado como parte de um estudo de pesquisa conduzido de forma responsável”, descrevem os pesquisadores em um artigo que documenta suas descobertas.
Alerta
Os pesquisadores afirmaram ao portal Wired que alertaram a Meta sobre suas descobertas em abril e excluíram a cópia dos 3,5 bilhões de números de telefone. Em outubro, a empresa corrigiu o problema de enumeração implementando uma medida de “limitação de taxa” mais rigorosa, que impede o método de descoberta de contatos em larga escala usado pelos pesquisadores. Mas, até então, a exposição dos dados poderia ter sido explorada por qualquer outra pessoa que utilizasse a mesma técnica de coleta de dados.
Em países onde o WhatsApp é ainda mais utilizado, uma fração menor da população ativou suas configurações de privacidade: na Índia, onde os pesquisadores contabilizaram quase 750 milhões de números, 62% das contas exibiam uma foto de perfil publicamente.
Dos 206 milhões de números brasileiros encontrados, 61% tinham fotos de perfil expostas.
O que diz o WhatsApp
Em nota, o vice-presidente de Engenharia do WhatsApp, Nitin Gupta, disse que a pesquisa foi fundamental para testar e confirmar a eficácia de um sistema que já vinha sendo trabalhado. Além disso, destacou que nenhum dado não público esteve acessível aos pesquisadores. Confira a nota na íntegra:
“Somos gratos aos pesquisadores da Universidade de Viena pela parceria responsável e diligência no âmbito do nosso programa de Bug Bounty. Essa colaboração identificou com sucesso uma técnica de enumeração inédita que superou nossos limites previstos, permitindo que os pesquisadores coletassem informações básicas disponíveis publicamente. Já estávamos trabalhando em sistemas anti-scraping líderes do setor, e este estudo foi fundamental para testar e confirmar a eficácia imediata dessas novas defesas. É importante ressaltar que os pesquisadores já deletaram de forma segura os dados coletados como parte do estudo, e não encontramos evidências de que agentes mal-intencionados tenham explorado esse vetor. Como lembrete, as mensagens dos usuários permaneceram privadas e seguras graças à criptografia de ponta a ponta padrão do WhatsApp, e nenhum dado não público esteve acessível aos pesquisadores.” Com informações do portal Extra.