Falha ignorada há 8 anos expôs 3,5 mil milhões de números no WhatsApp

Imagine uma lista telefónica que contém praticamente todas as pessoas do planeta que usam um smartphone. Agora imagine que essa lista estava disponível para qualquer pessoa com um computador e paciência suficiente para a recolher. Foi exatamente isto que aconteceu com o WhatsApp. Um grupo de investigadores de segurança conseguiu compilar uma base de dados com 3,5 mil milhões de números de telefone, explorando uma falha de segurança que, incrivelmente, já era conhecida desde 2017.

A revelação, feita por uma equipa da Universidade de Viena, expõe não só a vulnerabilidade técnica da plataforma da Meta, mas também uma inação preocupante que deixou a porta aberta para o que poderia ter sido “a maior fuga de dados da história”, caso tivesse sido explorada por agentes maliciosos.

Como é que roubaram o mundo inteiro?

O método utilizado pelos investigadores foi assustadoramente simples. Tiraram partido da funcionalidade de “descoberta de contactos” do WhatsApp. Quando instalas a aplicação, ela verifica os números da tua agenda para ver quem já usa o serviço.

O problema? O WhatsApp não impunha qualquer limite à velocidade ou quantidade destas verificações.

Os investigadores criaram um sistema automatizado que, essencialmente, perguntava ao WhatsApp: “Este número existe? E este? E este?”. Repetindo o processo milhares de milhões de vezes, conseguiram mapear a base de utilizadores global. Só nos Estados Unidos, a equipa conseguiu recolher 30 milhões de números em apenas 30 minutos.

Além do número de telefone, esta falha permitia muitas vezes aceder à foto de perfil e ao nome do utilizador, caso as definições de privacidade estivessem configuradas como “públicas”.

O aviso de 2017 que foi ignorado

O aspeto mais crítico desta história não é a falha em si, mas o tempo que ela permaneceu ativa. Um investigador já tinha alertado a Meta (então Facebook) para este risco exato há oito anos, em 2017. Na altura, foi comunicado que a falta de limites nas verificações permitia a recolha de dados em massa.

A Meta, no entanto, não implementou medidas restritivas durante quase uma década. Só agora, depois de a equipa da Universidade de Viena ter apresentado provas irrefutáveis da recolha massiva e ter notificado a empresa, é que a Meta agiu. E mesmo assim, a correção demorou seis meses a ser implementada, introduzindo finalmente um limite básico no número de pedidos que uma conta pode fazer.

A resposta da Meta: “Não vimos nada”

Os investigadores agiram de forma ética e eliminaram a base de dados após a prova de conceito. No entanto, a grande dúvida permanece: será que alguém com más intenções fez o mesmo antes deles?

A resposta oficial do WhatsApp segue o guião corporativo habitual. A empresa afirmou que já estava a trabalhar numa solução antes do alerta e que não encontrou indícios de que a falha tenha sido explorada por atacantes.

Contudo, dada a simplicidade do método e o facto de a porta ter estado aberta durante oito anos, esta garantia é vista com ceticismo pela comunidade de segurança. O incidente serve como um lembrete brutal de que, para proteger a nossa privacidade, não podemos depender apenas das plataformas; é essencial revermos quem pode ver a nossa foto e os nossos dados nas definições da aplicação.

Outros artigos interessantes:

• TikTok agora dá-te medalhas se parares de fazer ‘doomscrolling’
• Google Gemini 3 é oficial e chega com um plano para dominar a IA
• iOS 26.2: a Apple dá ‘voz’ ao teu ouvido com tradução em tempo real