Uma investigação publicada pela WIRED revelou uma vulnerabilidade no WhatsApp que permitia a identificação de praticamente qualquer usuário apenas por meio do número de telefone na busca interna do aplicativo. Segundo pesquisadores austríacos, o método explorava a ausência de limitações robustas na ferramenta de pesquisa, permitindo consultar sistematicamente todos os números possíveis. A técnica resultou na coleta de dados de cerca de 3,5 bilhões de contas, incluindo fotos de perfil e informações textuais definidas como públicas por parte dos usuários.

Os especialistas afirmaram ter alertado a Meta sobre a falha em abril, levando a empresa a implementar mecanismos de limitação de taxa para impedir buscas automatizadas em larga escala. A Meta declarou que a vulnerabilidade expunha apenas “informações básicas públicas” e que não há indícios de uso malicioso. A companhia destacou também que as mensagens permaneceram protegidas pela criptografia de ponta a ponta. No entanto, os pesquisadores apontaram que não identificaram defesas ativas contra scraping durante seus testes, apesar de a empresa afirmar possuir medidas em constante evolução baseadas em aprendizado de máquina.

O estudo mostrou ainda que usuários de países com grande adoção do aplicativo apresentavam níveis elevados de exposição. No Brasil, 61% dos mais de 201 milhões de usuários tinham todos os dados de perfil configurados como públicos; na Índia, esse percentual chegava a 62% entre 750 milhões de contas. A análise também encontrou sequências de caracteres associadas ao protocolo de criptografia do WhatsApp, indicando a presença de chaves duplicadas, algo considerado problemático para a segurança do sistema.