Falha de enumeração no WhatsApp libera scraping com 3,5 bilhões de contatos

A simplicidade de se acrescentar contatos no WhatsApp se tornou a base para uma das maiores coletas de dados de usuários da história: 3,5 bilhões de contatos foram obtidos por pesquisadores em poucas horas, e tudo isso ocorreu sem que houvesse invasão ou burla de barreiras técnicas. A dimensão do vazamento, descrita por uma equipe da Universidade de Viena, demonstra o quão perigosa pode ser a conhecida função de busca de contatos em aplicativos de mensagens populares. O WhatsApp sempre enfatizou a facilidade de adicionar novas pessoas: basta inserir um número de telefone na sua lista de contatos e o serviço revela instantaneamente se a pessoa está cadastrada no aplicativo, exibindo seu nome, foto e um perfil parcial.

Leia também
Falha no Whats for Windows permitia RCE
Meta oferece US$ 1M por exploit do Whats no Pwn2Own

A Meta tinha conhecimento dessa vulnerabilidade do WhatsApp que permitia o download de bancos de dados há oito anos.

Pesquisadores austríacos decidiram testar se buscas automatizadas por números de telefone poderiam revelar exatamente quem estava usando o WhatsApp. Eles iniciaram o processo e, em poucas horas, ficou claro que não havia praticamente nenhuma limitação. O serviço permitia um número ilimitado de solicitações pela versão web e, como resultado, a equipe conseguiu construir um banco de dados com 3,5 bilhões de números — coletando informações sobre praticamente todos os usuários do WhatsApp no ​​planeta. Para quase 57% dos registros, eles conseguiram obter fotos de perfil e, para quase um terço, status de texto, que muitas pessoas usam como uma breve apresentação pessoal.

Segundo os próprios pesquisadores, este teria sido o maior vazamento conhecido de números de telefone e dados de perfis públicos se as informações não tivessem sido coletadas exclusivamente para fins acadêmicos. Eles relataram a descoberta na primavera e deletaram todo o conjunto de dados, mas o sistema permaneceu completamente vulnerável até outubro, o que significa que uma operação semelhante poderia ter sido realizada por qualquer pessoa — desde spammers até agências governamentais que monitoram atividades indesejadas de seus cidadãos.