Uma simples falha de segurança do WhatsApp expôs 3,5 bilhões de números de telefone

Adoção em massa do WhatsApp decorre em parte da facilidade de encontrar um novo contato na plataforma de mensagens: adicione o número de telefone de alguém e WhatsApp mostra instantaneamente se eles estão no serviço e, muitas vezes, também a foto e o nome do perfil.

Acontece que repita o mesmo truque alguns bilhões de vezes com todos os números de telefone possíveis, e o mesmo recurso também pode servir como uma maneira conveniente de obter o número de celular de praticamente todos os usuários do WhatsApp no ​​mundo – junto com, em muitos casos, fotos de perfil e texto que identifica cada um desses usuários. O resultado é uma exposição generalizada de informações pessoais para uma fração significativa da população mundial.

Um grupo de investigadores austríacos demonstrou agora que foi capaz de usar esse método simples de verificar todos os números possíveis na descoberta de contactos do WhatsApp para extrair 3,5 mil milhões de números de telefone de utilizadores do serviço de mensagens. Cerca de 57% desses usuários também descobriram que podiam acessar as fotos de seus perfis e, para outros 29%, o texto em seus perfis. Apesar de um aviso anterior sobre a exposição desses dados pelo WhatsApp por outro pesquisador em 2017, dizem eles, a controladora do serviço, Meta, ainda não conseguiu limitar a velocidade ou o número de solicitações de descoberta de contatos que os pesquisadores poderiam fazer ao interagir com o aplicativo baseado em navegador do WhatsApp, permitindo-lhes verificar cerca de cem milhões de números por hora.

O resultado seria “o maior vazamento de dados da história, se não tivessem sido compilados como parte de um estudo de pesquisa conduzido de forma responsável”, como descrevem os pesquisadores em um artigo que documenta suas descobertas.

“Até onde sabemos, isto marca a exposição mais extensa de números de telefone e dados de utilizadores relacionados alguma vez documentada”, afirma Aljosha Judmayer, um dos investigadores da Universidade de Viena que trabalhou no estudo.

Os pesquisadores dizem que alertaram Meta sobre suas descobertas em abril e apagaram sua cópia dos 3,5 bilhões de números de telefone. Em outubro, a empresa resolveu o problema de enumeração ao promulgar uma medida de “limitação de taxa” mais rigorosa que impede o método de descoberta de contatos em grande escala usado pelos pesquisadores. Mas até então, a exposição dos dados também poderia ter sido explorada por qualquer outra pessoa que utilizasse a mesma técnica de raspagem, acrescenta Max Günther, outro investigador da universidade que é co-autor do artigo. “Se isso pudesse ser recuperado por nós com muita facilidade, outros também poderiam ter feito o mesmo”, diz ele.

Em comunicado à WIRED, Meta agradeceu aos pesquisadores, que relataram sua descoberta por meio do sistema de “recompensa de bugs” do Meta, e descreveu os dados expostos como “informações básicas disponíveis publicamente”, uma vez que fotos e textos de perfil não foram expostos para usuários que optaram por torná-los privados. “Já estávamos trabalhando em sistemas anti-raspagem líderes do setor e este estudo foi fundamental para testar o estresse e confirmar a eficácia imediata dessas novas defesas”, escreve Nitin Gupta, vice-presidente de engenharia do WhatsApp. Gupta acrescenta: “Não encontramos nenhuma evidência de atores mal-intencionados abusando desse vetor. Como lembrete, as mensagens dos usuários permaneceram privadas e seguras graças à criptografia ponta a ponta padrão do WhatsApp, e nenhum dado não público estava acessível aos pesquisadores”.