Uma vulnerabilidade crítica de segurança no WhatsApp expôs os números de telefone e informações de perfil associadas de mais de 3 mil milhões de utilizadores em todo o mundo, levantando sérias preocupações de privacidade para a aplicação de mensagens mais popular do mundo. A falha, descoberta por pesquisadores da Universidade de Viena e da SBA Research, permite que atores mal-intencionados obtenham dados de usuários em uma escala sem precedentes.
Como funciona a vulnerabilidade
O cerne do problema está no mecanismo de descoberta de contatos do WhatsApp. Quando um usuário concede permissão ao aplicativo para acessar seu catálogo de endereços, o WhatsApp compara esses números com seu banco de dados central para mostrar quais contatos também estão na plataforma. No entanto, este mesmo processo pode ser explorado para enumerar sistematicamente números de telefone, fotos de perfil e status “Sobre” sem autorização.
“Esta questão destaca um problema fundamental da arquitetura do WhatsApp: o próprio número de telefone é a vulnerabilidade.” — Marijus Briedis, CTO da NordVPN.
Isto significa que qualquer pessoa com conhecimentos técnicos básicos poderia ter potencialmente reunido milhares de milhões de pontos de dados, permitindo ataques altamente direcionados, incluindo phishing, falsificação de identidade e fraudes de engenharia social. A velocidade com que estes dados podem ser extraídos é particularmente alarmante.
As implicações mais amplas
Este incidente ressalta uma tendência mais ampla: os riscos inerentes ao uso de números de telefone como identificadores primários de usuários. Os números de telefone são públicos, permanentes e facilmente copiados, tornando-os inadequados para autenticação segura em ambientes digitais modernos. Muitas plataformas ainda dependem de números de telefone para registo e verificação, criando uma vulnerabilidade sistémica que os cibercriminosos podem explorar.
As descobertas dos pesquisadores, publicadas em um artigo pré-impresso intitulado ‘Olá! Você está usando o WhatsApp: Enumerando três bilhões de contas para segurança e privacidade’, são um lembrete claro de que mesmo plataformas maduras como o WhatsApp não estão imunes a falhas fundamentais de design.
Resposta da Meta e acusações recentes
A Meta, controladora do WhatsApp, afirma ter abordado e mitigado a vulnerabilidade, afirmando que não há evidências de exploração maliciosa. A empresa também reconhece a divulgação responsável por parte dos investigadores da Universidade de Viena no âmbito do seu programa Bug Bounty.
No entanto, isso ocorre após acusações recentes de um ex-chefe de segurança do WhatsApp, Attaullah Baig, que entrou com uma ação alegando falhas sistêmicas na abordagem de apropriações e hackers de contas, com mais de 100.000 contas comprometidas diariamente. As afirmações de Baig sugerem que as práticas de segurança do WhatsApp podem ser mais frouxas do que o reconhecido publicamente.
O que isso significa para os usuários
A exposição desta falha é um alerta tanto para os usuários quanto para as plataformas. Destaca a necessidade de métodos mais fortes de verificação de identidade para além dos números de telefone, tais como identificadores descentralizados ou autenticação biométrica.
Em última análise, este incidente reforça a realidade de que a privacidade online é uma batalha contínua e não um estado fixo. Os utilizadores devem permanecer vigilantes relativamente às suas pegadas digitais e as plataformas devem priorizar medidas de segurança robustas para proteger a sua base de utilizadores.
