Uma investigação de segurança revelou uma das maiores exposições de dados alguma vez documentadas no WhatsApp: cerca de 3,5 mil milhões de números de telefone foram obtidos através de uma vulnerabilidade no sistema de pesquisa da aplicação — incluindo 10 milhões de números em Portugal.
A equipa da Universidade de Viena explorou uma falha simples mas eficaz: introduzir sistematicamente combinações de números na função de pesquisa do WhatsApp.
Sempre que um número correspondia a uma conta ativa, era possível aceder ao nome associado e, em muitos casos, à fotografia e ao estado do utilizador. Segundo os investigadores, mais de metade das contas identificadas divulgava também a fotografia de perfil, e quase um terço deixava ver o estado.
Apesar da dimensão do problema, a Meta — empresa responsável pelo WhatsApp — já tinha sido alertada para esta vulnerabilidade em 2017, mas optou por não alterar o sistema.
Os investigadores revelaram que conseguiram verificar cerca de 100 milhões de números por hora, utilizando a interface web da plataforma.
A equipa afirma ter eliminado todos os dados recolhidos e notificou a Meta em abril deste ano. A empresa só aplicou uma correção em outubro, limitando o número de pesquisas possíveis. A Meta procurou desvalorizar o caso, classificando os dados expostos como “informação pública básica”, embora os especialistas considerem este um dos incidentes mais graves já conhecidos no serviço.