A simplicidade de se acrescentar contatos no WhatsApp se tornou a base para uma das maiores coletas de dados de usuários da história: 3,5 bilhões de contatos foram obtidos por pesquisadores em poucas horas, e tudo isso ocorreu sem que houvesse invasão ou burla de barreiras técnicas. A dimensão do vazamento, descrita por uma equipe da Universidade de Viena, demonstra o perigo que pode ser a conhecida função de busca de contatos em aplicativos de mensagens populares. O WhatsApp sempre enfatizou a facilidade de adicionar novas pessoas: basta inserir um número de telefone em sua lista de contatos e o serviço revela instantaneamente se uma pessoa está cadastrada no aplicativo, exibindo seu nome, foto e um perfil parcial.
Leia também
Falha no Whats for Windows permite RCE
Meta oferece US$ 1 milhão por exploit do Whats no Pwn2Own
A Meta tinha conhecimento da vulnerabilidade do WhatsApp que permitia o download de bancos de dados há oito anos.
Pesquisadores austríacos tentaram testar se buscas automáticas por números de telefone revelaram exatamente quem estava usando o WhatsApp. Eles iniciaram o processo e, em poucas horas, ficou claro que não havia praticamente nenhuma limitação. O serviço permitiu um número ilimitado de transações pela versão web e, como resultado, a equipe conseguiu construir um banco de dados com 3,5 bilhões de números — coletando informações sobre praticamente todos os usuários do WhatsApp no planeta. Para quase 57% dos registros, eles conseguem obter fotos de perfil e, para quase um terço, status de texto, que muitas pessoas usam como uma breve apresentação pessoal.
Segundo os próprios pesquisadores, este teria sido o maior vazamento conhecido de números de telefone e dados de perfis públicos se as informações não foram coletadas exclusivamente para fins acadêmicos. Eles relataram a descoberta na primavera e deletaram todo o conjunto de dados, mas o sistema estava completamente vulnerável até outubro, o que significa que uma operação semelhante poderia ter sido realizada por qualquer pessoa — desde spammers até agências governamentais que monitoravam atividades indesejadas de seus cidadãos.
