Uma falha estrutural na arquitetura da plataforma levanta dúvidas sobre a segurança do serviço e reabre críticas ignoradas pela Meta durante sete anos.
Investigadores da Universidade de Viena revelaram a existência de uma vulnerabilidade crítica no WhatsApp que expôs os números de telefone de 3,5 mil milhões de utilizadores a nível global. Entretanto, a Meta afirma já ter corrigido o problema em outubro do ano passado.
De acordo com informações avançadas, os investigadores conseguiram automatizar, sem qualquer entrave, consultas massivas que utilizam a funcionalidade básica do WhatsApp destinada a verificar se um número está associado a uma conta. Esta automação permitiu testar até 100 milhões de números por hora, confirmando não só a existência das contas como também tendo acesso a fotografias de perfil de 57% dos utilizadores e respetivas descrições. Os dados recolhidos atingem proporções gigantescas, e os investigadores estão a classificar o potencial impacto como “a maior fuga de dados da história”.
A reação da Meta, que reforçou os limites de verificação em outubro de 2024 após ter sido alertada na primavera desse ano, acaba por ocultar um historial mais inquietante. Esta vulnerabilidade não é recente, uma vez que em 2017 o investigador Loran Kloeze tinha reportado exatamente o mesmo problema. Na altura, a empresa descartou o alerta e limitou-se a recomendar aos utilizadores que ajustassem as definições de privacidade, permitindo que a falha permanecesse explorável durante sete anos.
O estudo agora divulgado expõe ainda outra séria ameaça à segurança das comunicações: a deteção de chaves de encriptação idênticas entre diferentes contas. Os especialistas associam esta anomalia à utilização de aplicações não oficiais do WhatsApp, que oferecem funcionalidades extra mas comprometem a integridade do sistema. O registo de 2,3 milhões de números chineses (apesar do WhatsApp ser proibido na China) reforça a utilização massiva desses clientes alternativos, capazes de facilitar a descodificação de conversas privadas. Perante estes riscos estruturais associados ao uso de números de telefone como identificadores, a Meta procura agora acelerar a implementação de um sistema de identificação pseudónima, atualmente em fase de testes. Contudo, é uma mudança que chega tarde para milhões de utilizadores cujos dados já podem ter sido expostos.
