Pesquisadores da Universidade de Viena e do SBA Research identificaram uma falha na API de contact-discovery do WhatsApp que permitia enumerar bilhões de números de telefone e as informações pessoais associadas, devido à ausência de mecanismos de rate limiting.
A equipe explorou o recurso de descoberta de contatos, que envia um número de telefone para a API GetDeviceList para verificar se ele está associado a uma conta e identificar os dispositivos utilizados.
Sem restrições rigorosas na quantidade de consultas, os pesquisadores enviaram um volume extremamente alto de requisições diretamente aos servidores do WhatsApp, chegando a mais de 100 milhões de números verificados por hora a partir de apenas cinco sessões autenticadas em um único servidor universitário.
Apesar da atividade abusiva, o WhatsApp não bloqueou as contas, não limitou o tráfego, tampouco restringiu o endereço IP dos pesquisadores, nem entrou em contato para investigar o comportamento incomum.
Ao gerar um conjunto global com 63 bilhões de números potenciais e submetê-los à API, os pesquisadores confirmaram a existência de 3,5 bilhões de contas ativas no WhatsApp.
O levantamento também trouxe um panorama inédito do uso global da plataforma, destacando os países com maior base de usuários:
- Índia: 749 milhões
- Indonésia: 235 milhões
- Brasil: 206 milhões
- Estados Unidos: 138 milhões
- Rússia: 133 milhões
- México: 128 milhões
Surpreendentemente, milhões de contas ativas foram encontradas em países onde o WhatsApp estava banido na época, como China, Irã, Coreia do Norte e Mianmar.
No Irã, o uso da plataforma continuou crescendo após o levantamento do banimento, em dezembro de 2024.
Além da API GetDeviceList, os pesquisadores utilizaram outros endpoints, como GetUserInfo, GetPrekeys e FetchPicture, para coletar fotos de perfil, textos da seção “sobre” e detalhes dos dispositivos vinculados às contas.
Em um teste com números dos Estados Unidos, foram baixadas 77 milhões de fotos de perfil, muitas contendo rostos identificáveis, além de informações pessoais e links para outras redes sociais obtidas em textos públicos.
Ao comparar os dados colhidos com um vazamento anterior de números do Facebook, ocorrido em 2021, os pesquisadores verificaram que 58% daqueles números ainda estavam ativos no WhatsApp em 2025.
Esse dado ressalta o impacto duradouro de vazamentos em larga escala, já que números telefônicos expostos continuam úteis para ações maliciosas por longos períodos.
No artigo “Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy”, os autores destacam que, embora o conjunto de dados contenha informações sensíveis — como números de telefone, timestamps, textos públicos, fotos de perfil e chaves públicas para criptografia de ponta a ponta (E2EE) — seu vazamento poderia acarretar graves consequências.
Essa falha no WhatsApp exemplifica um problema recorrente em plataformas online: APIs criadas para facilitar o compartilhamento de informações e a execução de tarefas, mas que, desprotegidas, acabam sendo exploradas para scraping em larga escala.
Casos semelhantes incluem o incidente no Facebook em 2021, quando um bug na função “Add Friend” permitia que atores maliciosos carregassem listas de contatos e verificassem se eles estavam na rede social, resultando no vazamento de dados de 533 milhões de usuários.
A Meta foi multada em € 265 milhões pela Comissão Irlandesa de Proteção de Dados.
Outros exemplos são a vulnerabilidade explorada no Twitter para mapear 54 milhões de contas associadas a números de telefone e e-mails, e o vazamento de 49 milhões de registros de clientes da Dell, causado pelo abuso de uma API desprotegida.
Esses incidentes reforçam a urgência de implementar controles de rate limiting e outras medidas de segurança em APIs que realizam consultas a contas ou dados, para evitar ataques em larga escala.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...