- Pesquisadores em Viena demonstraram a enumeração em massa de números no WhatsApp em escala global.
- Foram obtidos 3.500 bilhões de números de telefone, sendo 57% fotos de perfil e 29% textos públicos.
- A Meta implementou limites de velocidade em outubro e afirma que a criptografia das mensagens não foi afetada.
- O risco inclui golpes direcionados e exposição em países onde o WhatsApp é proibido.
Uma investigação acadêmica lançou luz sobre falha de segurança no sistema de descoberta de contatos O WhatsApp, que, quando explorado em larga escala, Isso permitiu a verificação de números de telefone e a associação em massa de dados de perfil a eles.A descoberta descreve como um processo rotineiro de um aplicativo pode se tornar, se repetido em ritmo acelerado, uma fonte de exposição à informação.
O estudo, liderado por uma equipe da Universidade de Viena, demonstrou que era possível verificar a existência de contas para bilhões de combinações numéricas através da versão web, sem bloqueios efetivos durante meses. Segundo os autores, se esse processo não tivesse sido realizado de forma responsável, estaríamos falando de uma das maiores exposições de dados já documentadas.
Como a lacuna se materializou: enumeração em massa
O problema não era quebrar a criptografia, mas sim uma fragilidade conceitual: a ferramenta de busca de contatos do serviço. O WhatsApp permite que os usuários verifiquem se um número de telefone está registrado; repetir essa verificação automaticamente e em larga escala abriu as portas para o rastreamento global.
Os pesquisadores austríacos usaram a interface da web para testar continuamente os números, chegando a uma taxa aproximada de 100 milhões de cheques por hora sem quaisquer limites de velocidade efetivos durante o período analisado. Esse volume possibilitou uma extração sem precedentes.
O resultado do experimento foi conclusivo: eles conseguiram obter o Números de telefone de 3.500 bilhões de contas do WhatsApp. Além disso, eles conseguiram associar dados de perfil disponíveis publicamente para uma parte significativa dessa amostra.
Especificamente, a equipe observou que As fotos de perfil foram acessadas em 57% dos casos, e os textos de status públicos ou informações adicionais em 29%.Embora esses campos dependam da configuração de cada usuário, sua exposição em larga escala amplifica o risco.
- 3.500 bilhões de números verificados como registrados no WhatsApp.
- 57% com uma foto de perfil publicamente acessível.
- 29% com texto de perfil pesquisável.
Avisos prévios que não foram atendidos a tempo.
A fragilidade da enumeração não era inteiramente nova: ja em 2017, o pesquisador holandês Loran Kloeze Ele alertou que era possível automatizar a verificação de números e associá-los a dados visíveis.Esse aviso prenunciou a situação atual.
Os trabalhos recentes de Viena levaram essa ideia ao extremo e mostrou que dependência do número de telefone pois um identificador único continua sendo problemático.Como os autores apontam, os números Eles não foram projetados para funcionar como credenciais secretas.Mas, na prática, eles desempenham esse papel em muitos serviços.
Outra conclusão relevante do estudo é que grande parte das informações pessoais mantém seu valor ao longo do tempo: A equipe descobriu que 58% dos telefones expostos no vazamento do Facebook de 2021 estavam infectados. Eles ainda estão ativos no WhatsApp hoje em dia., o que facilita correlações e campanhas persistentes.
Além dos números, O processo de consulta em massa permitiu inferir certos metadados técnicos.Como tipo de cliente ou sistema operacional funcionário e a presença de versões para desktop, o que aumenta a área de superfície para a criação de perfis.
Resposta da Meta: limites de velocidade e posicionamento oficial
Os investigadores Eles relataram a descoberta à Meta em abril e excluíram o banco de dados gerado após validá-lo.A empresa, por sua vez, implementou isso em outubro. medidas mais rigorosas de limitação de taxas Bloquear a enumeração em larga escala via web.
Em comunicados enviados a veículos de comunicação especializados, a Meta expressou gratidão pela notificação através de seu programa de recompensas pelo fracasso Ele enfatizou que as informações exibidas eram aquelas que cada usuário havia configurado para serem visíveis. Ele também afirmou não ter encontrado nenhuma evidência de uso indevido e malicioso desse método.
A empresa insistiu que a As mensagens permaneceram protegidas. Devido à criptografia de ponta a ponta e ao fato de nenhum dado não público ter sido acessado, não houve indicação de que o sistema criptográfico tivesse sido quebrado.
Após diversas reuniões técnicas, o WhatsApp premiou a pesquisa com EUA dollar 17.500Para a equipe, o processo serviu para medir e testar a eficácia das novas defesas implantadas após a notificação.
Riscos reais: de fraudes a ataques em países com proibições.
Além dos aspectos técnicos, o principal impacto dessa exposição é prático. Com um número de telefone e informações de perfil visíveis, tudo fica muito mais fácil. construir campanhas de engenharia social e golpes direcionados que exploram as informações contextuais de cada vítima.
Os pesquisadores também identificaram milhões de contas ativas em territórios onde o WhatsApp é proibido, como... China, Irã ou MianmarA visibilidade desses números pode ter consequências pessoais ou legais para usuários em contextos de alta vigilância.
A ampla disponibilidade de telefones válidos aumenta a spam, doxxing e phishing com um nível de precisão mais elevado, especialmente quando a foto de perfil ou o texto público fornecem pistas sobre a identidade, o emprego ou as redes sociais associadas.
Vale lembrar que, uma vez adicionadas a grandes bancos de dados, as informações podem circular por anos, combinando-se com outros vazamentos para enriquecer perfis e aumentar a eficácia dos ataques.
Europa e Espanha: por que isso importa aqui
Na Espanha e no resto da UE, onde o WhatsApp é onipresente, a exposição de informações nessa escala é um problema grave. preocupados com seu potencial impacto em milhões de usuários e empresasEmbora a Meta tenha corrigido o método de enumeração, o incidente reabre o debate sobre um design que depende do número de telefone.
O caso, que envolve uma equipe universitária europeia, serve como um lembrete de que até mesmo recursos projetados para conveniência — como encontrar contatos instantaneamente — Podem tornar-se vetores de risco se não possuírem defesas sólidas e continuamente verificadas..
Isso também destaca a necessidade de configurar as definições de privacidade com cuidado. Se a foto de perfil ou o texto público revelarem mais informações do que o necessário, a sua ampla exposição torna-se um problema. multiplicador de ameaças Para usuários particulares e profissionais.
Para organizações e administrações europeias com obrigações de segurança, Limitar a visibilidade dos dados e reforçar os procedimentos internos de verificação fora do aplicativo ajuda a reduzir a superfície de ataque de campanhas de falsificação de identidade ou fraude.
O que você pode fazer agora
Na ausência de um identificador alternativo, A melhor defesa para o usuário envolve ajustar opções privacidade do perfil e adote hábitos de comunicação prudentes.
- Restrinja a foto e as informações do perfil a "Meus contatos" ou "Ninguém"..
- Evite incluir dados sensíveis ou links pessoais no texto da sua publicação..
- Desconfie de mensagens inesperadas, mesmo que mostrem seu nome ou foto..
- Verifique quaisquer solicitações urgentes ou de pagamento por meio de um canal secundário..
Embora o canal específico para o recenseamento em massa tenha sido fechado, este episódio evidências de que a combinação de identificadores públicos e pequenas falhas nos controles pode levar a exposições enormes.Manter ao mínimo o que outras pessoas podem ver da sua conta limita o impacto de futuras técnicas de coleta de dados.
Pesquisas austríacas demonstraram que Uma função comum poderia ser explorada em escala industrial para validar bilhões de números e associar perfis visíveis a eles.A Meta apertou os limites e afirma que não há evidências de abuso, mas riscos de engenharia socialOs resultados obtidos em países com proibições e persistência de dados destacam a necessidade de rever o design baseado em números de telefone e de incentivar hábitos de privacidade mais rigorosos entre os usuários europeus.
Sou um entusiasta da tecnologia que transformou seus interesses “geek” em profissão. Passei mais de 10 anos da minha vida usando tecnologia de ponta e mexendo em todos os tipos de programas por pura curiosidade. Agora me especializei em informática e videogames. Isto porque há mais de 5 anos escrevo para diversos sites sobre tecnologia e videojogos, criando artigos que procuram dar-lhe a informação que necessita numa linguagem compreensível para todos.
Se você tiver alguma dúvida, meu conhecimento vai desde tudo relacionado ao sistema operacional Windows até Android para celulares. E meu compromisso é com você, estou sempre disposto a dedicar alguns minutos e te ajudar a resolver qualquer dúvida que você possa ter nesse mundo da internet.