A privacidade nas plataformas de mensagens voltou a estar sob o escrutínio público após uma descoberta alarmante por parte de uma equipa de académicos. Investigadores da Universidade de Viena e do laboratório de segurança SBA Research demonstraram que era possível identificar e extrair dados de aproximadamente 3,5 mil milhões de contas no WhatsApp, explorando uma lacuna na forma como a aplicação gere os pedidos de verificação de números.
O método utilizado não envolveu qualquer invasão complexa aos servidores da Meta, mas sim o abuso de uma funcionalidade legítima: a API que verifica se um determinado número de telefone está registado na plataforma.
Uma lista telefónica global exposta
O processo de descoberta de contactos é essencial para o funcionamento de qualquer app de mensagens: quando instala a aplicação, esta verifica quais dos seus contactos já a utilizam. No entanto, os investigadores descobriram que os mecanismos de segurança destinados a impedir o abuso desta funcionalidade eram manifestamente insuficientes.
Gerando milhares de milhões de números de telefone com formatos válidos de 245 países, a equipa bombardeou os servidores da empresa com pedidos. Surpreendentemente, conseguiram realizar cerca de 7.000 consultas por segundo a partir de um único endereço IP sem serem bloqueados. Esta ausência de limites eficazes ("rate-limiting") permitiu-lhes varrer mais de 100 milhões de números por hora, confirmando quais estavam ativos, inativos ou abandonados.
Este tipo de falha expõe uma vasta quantidade de metadados. Ao contrário de uma fuga de dados tradicional, onde uma base de dados é roubada, aqui a informação foi recolhida publicamente, mas em escala industrial, criando o que os investigadores descrevem como uma infraestrutura de comunicação pública sem a devida transparência.
O perigo escondido na foto de perfil e no "Recado"
A recolha de dados não se limitou a saber se um número existia. Uma vez confirmada a conta, os investigadores conseguiram aceder a fotos de perfil e à secção de texto "About" (ou "Recado"), caso estas estivessem definidas como públicas.
A situação torna-se particularmente preocupante quando cruzada com ferramentas modernas de Inteligência Artificial. Com milhões de fotos de perfil reais associadas a números de telefone, atores maliciosos poderiam criar um sistema de reconhecimento facial inverso, permitindo identificar o número de telemóvel de alguém apenas pela sua cara.
Além disso, o campo de texto do perfil revelou-se uma mina de ouro de informações sensíveis. Embora o WhatsApp tenha vindo a modificar a função "About", muitos utilizadores ainda usam este espaço para partilhar detalhes pessoais, desde afiliações políticas e religiosas até links para contas de OnlyFans ou emails profissionais sensíveis.
O estudo revelou ainda a presença de milhões de contas ativas em países onde o serviço é oficialmente bloqueado ou restrito, encontrando-se, por exemplo, cinco contas registadas na Coreia do Norte e mais de dois milhões na China.
A resposta da Meta e como se proteger
Após a divulgação destas descobertas através do programa de recompensas de bugs da empresa, a Meta implementou medidas para mitigar o problema, introduzindo limites mais rigorosos no número de pedidos que podem ser feitos. Nitin Gupta, VP do WhatsApp, afirmou que a empresa está a trabalhar em sistemas anti-scraping líderes na indústria e sublinhou que o conteúdo das mensagens permanece protegido pela encriptação ponta-a-ponta.
No entanto, o facto de estes dados terem estado acessíveis levanta questões sobre quem mais poderá ter explorado esta via antes dos investigadores. Para os utilizadores, a recomendação é clara: a segurança começa na configuração da privacidade. Deve restringir a visualização da sua foto de perfil e da secção "Sobre" apenas aos seus contactos ("Apenas contactos"), evitando que qualquer pessoa com o seu número possa ver a sua imagem ou informações pessoais.
Pode consultar os detalhes técnicos desta investigação no documento disponibilizado no GitHub.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech