A brecha no WhatsApp que permitiu descobrir números de todos os usuários do aplicativo
19/11/2025
(Foto: Reprodução) WhatsApp
Reuters/Thomas White
O WhatsApp teve por anos uma falha que permitiu a qualquer um descobrir números de celular de todos os usuários do aplicativo, apontaram pesquisadores de ciência da computação da Universidade de Viena, na Áustria.
Em um estudo, eles indicaram que a brecha estava na busca do WhatsApp que permite abrir novas conversas. Ela é fundamental para quem precisa iniciar uma troca de mensagens com quem não está em sua lista de contatos.
Mas a falta de limite para essa pesquisa permitiu coletar em massa números de celular dos 3,5 bilhões de usuários do app, disseram os pesquisadores. O número está acima dos 2 bilhões de usuários divulgados como número oficial pelo WhatsApp.
Segundo o estudo, também foi possível identificar fotos e frases de perfil de boa parte desses usuários, disseram os pesquisadores. As mensagens das conversas têm criptografia e, por isso, não estão protegidas.
📱Baixe o app do g1 para ver notícias em tempo real e de graça
Como esconder a foto de perfil do WhatsApp
Veja os vídeos que estão em alta no g1
A coleta dos dados podia ser feita por enumeração, técnica que envolve testar um intervalo de números para encontrar contas ativas em uma plataforma. A prática também é conhecida como raspagem de dados (ou scraping).
"Embora a limitação da taxa [de quantidade de buscas] seja uma defesa padrão contra abusos, revisamos o problema e mostramos que o WhatsApp continua altamente vulnerável à enumeração em larga escala", disse o estudo.
Os pesquisadores disseram ter feito 7 mil pesquisas de números de celular por segundo sem qualquer bloqueio ou limitação realmente eficazes por parte do WhatsApp.
E afirmaram que excluíram o material coletado antes da publicação do artigo.
Eles também recomendaram a adoção de medidas de segurança que foram adotadas em parte pela plataforma após certa insistência (saiba mais abaixo).
Procurado pelo g1, o WhatsApp agradeceu aos pesquisadores pela colaboração e disse não ter encontrado evidências de que agentes mal-intencionados exploraram essa brecha (veja a íntegra ao final).
"Já estávamos trabalhando em sistemas anti-scraping líderes do setor, e este estudo foi fundamental para testar e confirmar a eficácia imediata dessas novas defesas", disse o WhatsApp em nota assinada por seu vice-presidente de Engenharia, Nitin Gupta.
'Censo do WhatsApp'
A partir dos números, os pesquisadores conseguiram criar uma espécie de Censo do WhatsApp, com detalhes sobre números de usuário por país, sistemas operacionais usados e quantidade de fotos de perfil encontradas.
A pesquisa apontou, por exemplo, que o Brasil tem 206 milhões de usuários ativos e é o terceiro maior mercado do WhatsApp, atrás apenas da Índia, com 749 milhões de usuários, e da Indonésia, com 235 milhões.
Ainda segundo o estudo, foi possível identificar as fotos de perfil de 61% dos usuários no Brasil. E registrar que 81,4% dos usuários do aplicativo no país estão no Android e 18,6%, no iPhone.
"Caso sejam acessados por agentes maliciosos, esses dados podem ser explorados para campanhas de spam, ataques de phishing ou chamadas automáticas, representando sérios riscos à privacidade e à segurança", diz o estudo.
WhatsApp
AP Photo/Patrick Sison
Como a brecha foi testada
Entre dezembro de 2024 e abril de 2025, os pesquisadores fizeram várias rodadas de enumeração de números de telefone por meio de um programa alternativo capaz de se conectar aos servidores do WhatsApp.
Para limitar a busca, eles usaram uma biblioteca do Google com padrões de telefone em vários países. A partir daí, chegaram ao total de 63 bilhões de números possíveis distribuídos em 245 países.
Essa lista também considerou questões locais, como a mudança no padrão no Brasil, em que o dígito 9 foi incluído no início do número de celular, mas várias contas de WhatsApp ainda têm o padrão antigo, com oito dígitos.
Em seguida, eles iniciaram as buscas por contas ativas no aplicativo. Essa etapa foi realizada em apenas um servidor, prática que eles esperavam que levaria a um bloqueio por parte da plataforma.
"Para nossa surpresa, nem nosso endereço IP, nem nossas contas foram bloqueadas pelo WhatsApp. Além disso, não tivemos nenhuma limitação de taxa [de busca] proibitiva", afirmou o estudo.
O que o WhatsApp fez após o alerta
Os pesquisadores disseram ter informado a Meta, dona do WhatsApp, sobre o risco de exploração de números de celular ainda em setembro de 2024, antes de testarem a técnica de enumeração.
Segundo eles, a Meta disse que encaminharia o alerta para seus engenheiros, mas não deu nenhuma atualização até agosto de 2025, quando ela voltou a dizer que o material seria enviado à sua equipe de especialistas.
Os autores do estudo afirmaram que, a partir de setembro de 2025, quando avisaram que o conteúdo seria publicado em um artigo, a Meta passou a demonstrar mais preocupação com a situação.
Eles afirmaram que o WhatsApp adotou um método para tentar limitar a quantidade de buscas por números de celular por pessoas mal-intencionadas sem prejudicar o uso normal do aplicativo.
A plataforma também restringiu a quantidade de vezes que um usuário pode ver fotos e frases de perfil de pessoas desconhecidas.
O WhatsApp disse que a colaboração identificou uma técnica de enumeração inédita que superou seus limites previstos, mas que elas permitiram acesso a informações disponíveis publicamente.
Leia a íntegra do comunicado do WhatsApp:
"Somos gratos aos pesquisadores da Universidade de Viena pela parceria responsável e diligência no âmbito do nosso programa de Bug Bounty. Essa colaboração identificou com sucesso uma técnica de enumeração inédita que superou nossos limites previstos, permitindo que os pesquisadores coletassem informações básicas disponíveis publicamente. Já estávamos trabalhando em sistemas anti-scraping líderes do setor, e este estudo foi fundamental para testar e confirmar a eficácia imediata dessas novas defesas. É importante ressaltar que os pesquisadores já deletaram de forma segura os dados coletados como parte do estudo, e não encontramos evidências de que agentes mal-intencionados tenham explorado esse vetor. Como lembrete, as mensagens dos usuários permaneceram privadas e seguras graças à criptografia de ponta a ponta padrão do WhatsApp, e nenhum dado não público esteve acessível aos pesquisadores" – Nitin Gupta, VP de Engenharia do WhatsApp.
