A ampla adoção do WhatsApp se deve, em parte, à facilidade de encontrar novos contatos na plataforma: basta adicionar o número de telefone de alguém para que o aplicativo exiba instantaneamente se a pessoa está no serviço e, normalmente, mostre sua foto de perfil e nome.
No entanto, ao repetir esse processo com bilhões de números possíveis, essa mesma funcionalidade pode ser explorada para coletar os números de celular de praticamente todos os usuários do WhatsApp no mundo — além, em muitos casos, das suas fotos de perfil e textos de identificação.
Isso gera uma exposição significativa de informações pessoais que atinge uma parcela relevante da população global.
Um grupo de pesquisadores austríacos demonstrou que conseguiu usar esse método simples de verificação para extrair 3,5 bilhões de números de telefone do WhatsApp.
Para cerca de 57% desses usuários, os pesquisadores também tiveram acesso às fotos de perfil; para outros 29%, conseguiram ler os textos dos perfis.
Embora um alerta sobre essa vulnerabilidade tenha sido feito por outro pesquisador em 2017, a Meta, empresa-mãe do WhatsApp, não limitou a velocidade nem a quantidade de solicitações para descoberta de contatos via aplicativo web, permitindo que os pesquisadores verificassem cerca de 100 milhões de números por hora.
Os autores descrevem o resultado como “o maior vazamento de dados da história, não fosse ele obtido por meio de um estudo científico conduzido de forma responsável”.
“Até onde sabemos, este é o maior registro de exposição de números de telefone e dados de usuários já documentado”, afirma Aljosha Judmayer, pesquisador da Universidade de Viena envolvido no estudo.
Os pesquisadores comunicaram a Meta sobre a descoberta em abril e apagaram a cópia dos 3,5 bilhões de números coletados.
Em outubro, a empresa corrigiu a falha aplicando uma medida rigorosa de rate limiting, que impede o uso massivo do método de descoberta de contatos.
Até então, porém, a vulnerabilidade poderia ter sido explorada por qualquer pessoa usando a mesma técnica de scraping, alerta Max Günther, outro pesquisador da universidade.
“Se para nós foi extremamente fácil acessar esses dados, outros também poderiam ter feito o mesmo.”
Em nota à revista WIRED, a Meta agradeceu aos pesquisadores pelo relatório enviado por meio do programa de recompensa por bugs (bug bounty) e classificou os dados expostos como “informações públicas básicas”, já que fotos e textos de perfil não ficaram disponíveis para usuários que optaram pela privacidade.
“Já trabalhávamos em sistemas avançados de prevenção contra scraping, e este estudo foi fundamental para testar e confirmar a eficácia imediata dessas novas defesas”, declarou Nitin Gupta, vice-presidente de engenharia do WhatsApp.
Gupta ainda ressaltou: “Não encontramos evidências de que agentes mal-intencionados tenham explorado essa vulnerabilidade.
Vale lembrar que as mensagens dos usuários permaneceram privadas e seguras graças à criptografia de ponta a ponta padrão do WhatsApp, e nenhum dado não público foi acessado pelos pesquisadores.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...