Uma nova falha de segurança no WhatsApp colocou em risco a privacidade de praticamente metade da população mundial. Entre dezembro de 2024 e abril de 2025, pesquisadores austríacos conseguiram mapear bilhões de perfis usando apenas a ferramenta nativa de busca por contatos.
O problema não é recente, mas ganhou proporções alarmantes ao ser explorado em escala industrial. Números de telefone foram combinados a uma velocidade impressionante, vazando fotos, descrições pessoais e até pistas sobre crenças políticas e religiosas dos usuários.
Pesquisa revela brecha que expõe bilhões de contas
A investigação foi conduzida pela Universidade de Viena, na Áustria, e testou o recurso “adicionar contato” do mensageiro. Ao inserir um número de telefone, o WhatsApp informa se há uma conta associada, além de exibir imagem de perfil e texto de status quando o usuário não restringe essas informações.
Usando o gerador de números libphonegen, os especialistas criaram 100 milhões de combinações por hora. No total, 63 bilhões de sequências foram verificadas e, dessas, 3,5 bilhões correspondiam a contas reais no aplicativo.
Como a função de busca de contatos vira porta de entrada
O processo é simples: basta digitar qualquer número na agenda e tocar em “novo contato”. O aplicativo sinaliza se aquela linha telefônica está registrada. Logo em seguida, mesmo sem ser adicionado, é possível visualizar a foto e o texto do perfil, caso o usuário os tenha marcado como públicos.
3,5 bilhões de perfis mapeados em quatro meses
Do universo de perfis coletados, 57% traziam fotos visíveis e 29% exibiam descrições textuais com informações sensíveis. Políticos, celebridades e pessoas comuns tiveram dados capturados da mesma forma. Para fraudadores, esse “catálogo” facilita ataques de engenharia social e tentativas de golpe.
Impacto na privacidade dos usuários
Além da exposição de dados pessoais, os pesquisadores alertam para o risco técnico: chaves públicas e de identidade podem ser reutilizadas em vez de geradas de forma única. Isso enfraquece a criptografia ponta a ponta, permitindo, em teoria, que mensagens sejam interceptadas e descriptografadas.
A mesma falha já havia sido relatada em 2017, mas até hoje não foi totalmente corrigida. Para o site Mania de Celular, a descoberta reforça a necessidade de configurações de privacidade mais rígidas por parte dos usuários.
O que muda após as correções do Meta
Depois de notificado, o Meta confirmou que aplicou atualizações em outubro de 2025. Agora existe um limite para o número de consultas que cada conta pode realizar diariamente, o que tende a reduzir a varredura automatizada em massa.
Mesmo assim, perfis configurados como públicos ainda exibem foto e status a qualquer pessoa que saiba o número. Ou seja, quem deixa o conteúdo aberto continua suscetível à coleta de dados.
Imagem: Jade Bryan
Limite de buscas reduz, mas perfis públicos seguem visíveis
A empresa não detalhou qual é o teto de buscas permitido, nem informou se pretende torná-lo dinâmico. A mensagem oficial destaca apenas “medidas adicionais para proteger os usuários”, sem previsão de bloqueio completo da consulta por número.
Dicas rápidas para minimizar riscos
Caso você queira reduzir a exposição imediata, siga estes passos dentro do aplicativo:
- Acesse Configurações > Conta > Privacidade.
- Mude “Foto do perfil” e “Recado” de “Todos” para “Meus contatos”.
- Ative a verificação em duas etapas, criando um PIN de seis dígitos.
- Reavalie quem pode ver “Visto por último” e “Online”.
Essas medidas não impedem totalmente a varredura de números, mas diminuem a quantidade de informações que um invasor pode coletar.
Por que a falha de segurança no WhatsApp preocupa tanto
O WhatsApp reúne mais de dois bilhões de usuários ativos mensais, o que o torna um alvo cobiçado. No Brasil, onde o aplicativo é presença obrigatória em praticamente qualquer smartphone — vendido desde R$ 500 em modelos de entrada até acima de R$ 10 mil nos topo de linha — a dependência do mensageiro agrava o impacto de falhas.
Quando 3,5 bilhões de perfis ficam acessíveis, golpistas ganham matéria-prima valiosa para phishing, clonagem de contas e campanhas de desinformação. A combinação de nome, foto e presença online basta para criar mensagens personalizadas e aumentar a taxa de sucesso dos ataques.
Próximos passos do Meta
Além do limite de consultas, a empresa testa duas novidades: bloqueio automático de chamadas de números desconhecidos e limite mensal de mensagens recebidas de contatos não salvos. As funções ainda estão em fase piloto e não têm data para liberação global.
Resumo: o que o usuário deve saber agora
• A falha de segurança no WhatsApp permite identificar se um número possui conta, revelar foto de perfil e texto de status.
• 3,5 bilhões de perfis foram catalogados por pesquisadores entre dezembro de 2024 e abril de 2025.
• Meta aplicou limite de buscas, mas perfis públicos continuam visíveis.
• Alterar configurações de privacidade e ativar verificação em duas etapas diminuem o risco.
