German (DE) 
English (US) 
Spanish (ES) 
French (FR) 
Hindi (IN) 
Italian (IT) 
Portuguese (BR) 
Russian (RU) 
1 semana atrás
8
Um estudo da Universidade de Viena revelou um problema estrutural no WhatsApp que pode ter exposto mais de 3 bilhões de números de telefone de usuários em todo o mundo. A vulnerabilidade, presente no próprio sistema de busca do aplicativo, permite a coleta de dados sensíveis como nome, foto de perfil, status, recado, links compartilhados, grupos frequentados e até informações financeiras como a chave Pix. Nas próximas linhas, entenda mais detalhes sobre o estudo, veja o que dizem os especialistas e saiba como se proteger no serviço de mensagens da Meta.
/i.s3.glbimg.com/v1/AUTH_08fbf48bc0524877943fe86e43087e7a/internal_photos/bs/2025/T/J/MPonHVShukvI8e3rhIEA/design-sem-nome-4-.png)
WhatsApp pode ter vazado mais de 3 bilhões de números, saiba como se proteger — Foto: Reprodução/Luã Souza WhatsApp pode ter vazado mais de 3 bilhões de números, saiba como se proteger
No índice abaixo, veja os tópicos que serão abordados nesta matéria do TechTudo.
- O que diz o estudo?
- O que dizem especialistas sobre vazamentos no WhatsApp
- Como proteger os meus dados no WhatsApp?
- O que diz a Meta?
O estudo conduzido por pesquisadores da Universidade de Viena revelou uma falha na forma como o WhatsApp lida com links de convite para grupos públicos. Esses links, quando compartilhados em espaços abertos da internet, como fóruns, redes sociais ou sites públicos, podem ser indexados por mecanismos de busca como o Google. Isso significa que qualquer pessoa pode encontrar esses links por meio de uma simples pesquisa e, ao acessá-los, entrar nos grupos sem qualquer autorização direta dos administradores ou dos participantes.
Uma vez que o usuário entra em um grupo, é possível visualizar os números de telefone de todos os membros, além de acessar nomes de perfil, fotos e mensagens públicas. Os pesquisadores demonstraram que essa “falha” permite a coleta automatizada de dados pessoais em larga escala, representando um risco concreto para a privacidade dos usuários. Com essas informações, agentes mal-intencionados podem realizar ataques de engenharia social, campanhas de phishing, ou até mesmo comercializar os dados obtidos.
O estudo também destaca que essa exposição ocorre mesmo que o usuário nunca tenha compartilhado seu número publicamente, pois basta que ele tenha sido adicionado a um grupo com link público e caso ele não tenha alterado determinadas configurações de segurança, seus dados como: foto de perfil, número de telefone e chave Pix estarão disponíveis para outros usuários.
O método utilizado foi possível porque os pesquisadores acadêmicos geraram uma lista de números de telefone, verificaram se estavam registrados no WhatsApp e compilaram informações públicas básicas que as pessoas disponibilizaram para “todos”, de uma forma inovadora que excedeu os limites pretendidos inicialmente pela Meta. Como um serviço baseado em número de telefone, o WhatsApp (assim como Signal, Telegram e Viber) ele é projetado para permitir que as pessoas se conectem inserindo um número de telefone para ver se seus contatos estão disponíveis no WhatsApp. Ou seja, essa capacidade de buscar o número do contato é fundamental para conectar pessoas no WhatsApp e em outros apps de mensagens baseados em número.
/i.s3.glbimg.com/v1/AUTH_08fbf48bc0524877943fe86e43087e7a/internal_photos/bs/2024/e/C/vFY2NmRn6FdwN3AOtc0g/techtudo-109-m.jpg)
Segundo relatório, vazamento é o maior já documentado — Foto: Mariana Saguias/TechTudo Os pesquisadores da Universidade de Viena conduziram e reportaram o estudo de forma responsável sob supervisão do programa Bug Bounty, desenvolvido pela Meta e a equipe de pesquisa confirmou que todos os dados coletados foram apagados de maneira segura. Nenhum chat privado do WhatsApp ou informação não pública foi acessível aos pesquisadores durante o processo de pesquisa. Isso porque as conversas privadas no WhatsApp são sempre criptografadas de ponta a ponta, ou seja, ninguém, nem mesmo o WhatsApp, pode lê-las.
2. O que dizem especialistas sobre vazamentos no WhatsApp
Em entrevista ao Techtudo, Ataíde Junior, especialista em cibersegurança e CISO da IPV7 esclareceu dúvidas cruciais em relação aos vazamentos que acontecem no WhatsApp e também trouxe ressalvas em relação ao que é realmente um vazamento e o que é uma consulta a dados públicos:
1 — Como os usuários podem se proteger para suas fotos e metadados de perfil não serem extraídos no WhatsApp?
Embora a falha explorada recentemente no WhatsApp tenha se limitado ao acesso a metadados públicos, expostos por um endpoint de discovery que relaciona número e perfil, o usuário ainda pode adotar medidas eficazes para reduzir a superfície de ataque. A primeira delas é limitar ao máximo a exposição a vetores de enumeração. Como o WhatsApp permitia que atacantes enviassem grandes listas de números válidos para coleta automatizada, configurar foto, nome, “sobre” e até a chave Pix como visíveis apenas para “Meus contatos” ou, idealmente, para “Ninguém” ajuda a bloquear esse tipo de scraping.
Também vale lembrar que foto, nome e número juntos facilitam golpes de engenharia social. Para evitar isso, você pode usar um avatar em vez da sua foto real, não exibir nome completo e evitar qualquer dado que ajude a identificar você fora do WhatsApp. Outro cuidado é impedir que seu número seja cruzado com perfis de outras redes, já que criminosos usam esse tipo de comparação para montar dossiês. Não repita a mesma foto do Instagram ou do LinkedIn e, se possível, use um número separado para trabalho ou para perfis públicos.
Se você usa WhatsApp para fins corporativos, proteja especialmente sua chave Pix. Ela confirma que aquele número é também o número financeiro, o que abre portas para golpes mais sofisticados. Deixe o Pix visível apenas para contatos. E, por fim, proteja o próprio número: ative a verificação em duas etapas do WhatsApp, coloque um PIN na operadora e evite usar seu número principal em cadastros pela internet. Essas medidas reduzem bastante o risco de clonagem, SIM swap e tentativas de roubo da sua conta.
— Ataíde Junior, especialista em cibersegurança e CISO da IPV7
2- Segundo o estudo da Universidade de Viena, esse pode ter sido o maior vazamento de dados da história do WhatsApp, como a Meta poderia ter evitado isso na sua opinião?
O erro da Meta não foi uma falha simples, mas um problema de arquitetura. O WhatsApp deixava uma parte do sistema exposta, sem limites adequados de acesso, usando o número de telefone como identificação principal e permitindo consultas em massa sem autenticação. Isso fez com que milhões de números pudessem ser verificados em velocidade industrial.
— Ataíde Junior, especialista em cibersegurança e CISO da IPV7
O primeiro problema era a ausência de mecanismos que limitassem o uso do endpoint. A plataforma deveria ter adotado limites rígidos por conta, por IP e por infraestrutura automatizada, além de sistemas que identificassem comportamentos típicos de raspagem de dados, como picos repentinos de consultas ou varreduras numéricas sequenciais.
Outro ponto estrutural foi manter o número de telefone como identificador principal. Esse dado é previsível, fácil de enumerar e não é secreto, o que o torna inadequado como chave de identidade. Por isso, muitas plataformas já adotam usernames, e o WhatsApp deve seguir essa mesma direção.
Também faltou aplicar o princípio de minimização de dados. Em vez de retornar foto, recado e outros detalhes do perfil, o endpoint deveria fornecer apenas o mínimo necessário, como uma confirmação simples de existência da conta
Além disso, seria mais seguro exigir algum tipo de autenticação mútua para exibir informações de perfil. Em um modelo ideal, apenas contatos ou usuários que tenham interagido entre si teriam acesso aos dados, reduzindo drasticamente o potencial de exploração.
3- Esse vazamento afetou os usuários brasileiros de alguma forma?
Sim, e o impacto no Brasil é ainda mais sensível. O país concentra mais de 200 milhões de contas no WhatsApp, é o segundo maior mercado da Meta e depende do aplicativo não só para comunicação, mas também para pagamentos e negócios. Esse cenário, combinado com um ecossistema muito ativo de golpes e engenharia social, faz com que qualquer falha tenha efeitos amplificados.
Um dos reflexos mais imediatos é o aumento do spear-phishing altamente direcionado. Quando criminosos conseguem combinar foto, nome, número e até chave Pix, passam a validar visualmente a identidade da vítima e a criar golpes de “troca de número” mais convincentes, além de facilitar perfis falsos e fraudes relacionadas ao Pix. Esses dados também permitem montar bancos de informações segmentadas, como listas de mulheres para golpes afetivos, empresas para extorsão ou funcionários com fotos corporativas para se passar por representantes internos.
Figuras públicas e influenciadores também ficam mais vulneráveis, já que a exposição de foto e nome abre espaço para stalking, clonagem de identidade, golpes contra seguidores e até tentativas de extorsão. A situação é ainda mais preocupante no caso de adolescentes, pois a simples combinação de foto e número pode alimentar práticas de grooming, doxxing ou importunação digital, além de perfis automatizados voltados para pedofilia.
— Ataíde Junior, especialista em cibersegurança e CISO da IPV7
As empresas não ficam de fora. Números corporativos ou de funcionários podem ser usados para golpes de cobrança falsa, redirecionamento de pagamentos, ataques BEC via WhatsApp e engenharia social interna envolvendo setores como RH e financeiro. Até detalhes aparentemente inofensivos exibidos no status, como “moro sozinho” ou “trabalho viajando”, podem ser usados para selecionar vítimas em crimes físicos.
Por fim, listas validadas de números ativos facilitam ataques de SIM swap direcionado, permitindo que criminosos escolham pessoas com maior potencial financeiro e executem tentativas de roubo de conta com muito mais precisão.
3. Como proteger os meus dados no WhatsApp?
Para proteger seus dados no WhatsApp diante dessa e de qualquer outra vulnerabilidade, é importante adotar algumas medidas práticas. Em primeiro lugar, evite participar de grupos que utilizam links públicos para convite, principalmente aqueles compartilhados em ambientes abertos. Caso você seja administrador de um grupo, não compartilhe o link em sites públicos e prefira adicioná-lo manualmente ou enviar o convite por canais privados e seguros. Também é importante revogar links antigos e criar novos convites sempre que houver uma suspeita de vazamento.
Além disso, vale ajustar as configurações de privacidade do mensageiro. No menu de privacidade, é possível limitar quem pode ver sua foto de perfil, seu status, seu recado e sua última visualização. Definir essas opções para “Meus contatos” ou “Ninguém” reduz o risco de exposição de informações pessoais. Outra medida é ativar a verificação em duas etapas, que adiciona uma camada extra de segurança à sua conta por meio de um PIN.
Outra recomendação é nunca clicar em links suspeitos, mesmo que pareçam legítimos, e revisar periodicamente os grupos dos quais você participa. Se verificar que nenhum dele tenha um objetivo claro ou não conta com pessoas conhecidas, saia imediatamente. Lembrando sempre que, além dos ajustes no sistema, o bom senso e o cuidado fazem parte do pacote de cuidados para se proteger online.
/i.s3.glbimg.com/v1/AUTH_08fbf48bc0524877943fe86e43087e7a/internal_photos/bs/2024/o/S/AY1OzZQ6Co09l43aITAA/techtudo-71-m.jpg)
Saiba como proteger seus dados no WhatsApp — Foto: Mariana Saguias/TechTudo O TechTudo entrou em contato com a Meta visando esclarecer o suposto vazamento de dados e recebeu um comunicado oficial da empresa:
"Somos gratos aos pesquisadores da Universidade de Viena pela parceria responsável e diligência no âmbito do nosso programa de Bug Bounty. Essa colaboração identificou com sucesso uma técnica de enumeração inédita que superou nossos limites previstos, permitindo que os pesquisadores coletassem informações básicas disponíveis publicamente. Já estávamos trabalhando em sistemas anti-scraping líderes do setor, e este estudo foi fundamental para testar e confirmar a eficácia imediata dessas novas defesas. É importante ressaltar que os pesquisadores já deletaram de forma segura os dados coletados como parte do estudo, e não encontramos evidências de que agentes mal-intencionados tenham explorado esse vetor. Como lembrete, as mensagens dos usuários permaneceram privadas e seguras graças à criptografia de ponta a ponta padrão do WhatsApp, e nenhum dado não público esteve acessível aos pesquisadores.”
— – Nitin Gupta, VP de Engenharia do WhatsApp
O programa Bug Bounty completa 15 anos em 2025 e foi desenvolvido para incentivar pesquisas de segurança, inclusive para novas tecnologias, e manter uma colaboração aberta com a comunidade interessada no tema. A iniciativa já conta com um alto número de submissões (13 mil em 2025) e centenas de relatórios validados (800). Além disso, a Meta pagou mais de US$ 4 milhões em recompensas este ano como uma forma de reconhecer o trabalho dos pesquisadores.
Veja também: 'Caí no golpe do Pix, e agora?' Veja o que fazer e como recuperar
'Caí no golpe do Pix, e agora?' Veja o que fazer e como recuperar
/https://i.s3.glbimg.com/v1/AUTH_59edd422c0c84a879bd37670ae4f538a/internal_photos/bs/2025/Y/V/U8Daj7RYSertSCYZGMWw/251130-montagem-criancas-casadas-desktop.jpg)
/https://i.s3.glbimg.com/v1/AUTH_08fbf48bc0524877943fe86e43087e7a/internal_photos/bs/2025/8/H/O0rlGvQgmUsHXCD2RsQw/tecnologi-air.jpg)
/https://i.s3.glbimg.com/v1/AUTH_08fbf48bc0524877943fe86e43087e7a/internal_photos/bs/2024/I/v/LShxKsSiaZD3F2IJ1hfQ/captura-de-tela-2024-05-01-163804.png)
/https://i.s3.glbimg.com/v1/AUTH_08fbf48bc0524877943fe86e43087e7a/internal_photos/bs/2024/b/j/xakO5oQPCQIf6ZhVDT8A/imagem-2024-07-11-174924014.png)
:strip_icc()/i.s3.glbimg.com/v1/AUTH_59edd422c0c84a879bd37670ae4f538a/internal_photos/bs/2023/l/g/UvNZinRh2puy1SCdeg8w/cb1b14f2-970b-4f5c-a175-75a6c34ef729.jpg)
Comentários
Aproveite ao máximo as notícias fazendo login
Entrar Registro