Uma falha de segurança no sistema de descoberta de contatos do WhatsApp permitiu que um grupo de pesquisadores da Universidade de Viena compilasse um banco de dados com 3,5 bilhões de números de telefone cadastrados na plataforma.
A brecha, que explorava a facilidade do app em encontrar novos usuários, expôs números, fotos de perfil e recados de status de grande parcela de usuários do mundo todo. O Brasil, como um dos maiores mercados do mensageiro, teve 206 milhões de contas identificadas, sendo que 61% delas tinham foto de perfil visíveis para qualquer um.
A investigação também encontrou milhões de contas ativas em países onde o app é oficialmente banido, como a China (2,3 milhões) e Mianmar (1,6 milhão). Segundo a Wired, a preocupação dos pesquisadores é de que governos desses lugares poderiam utilizar a mesma técnica para identificar e perseguir cidadãos.
Como a lista foi criada?
Para gerar o banco de dados, os pesquisadores se aproveitaram do recurso do WhatsApp que informa instantaneamente se determinado número adicionado na agenda tem uma conta no mensageiro. Eles automatizaram o processo, testando bilhões de combinações de números possíveis através da versão web do aplicativo.
Sem barreiras de velocidade, eles conseguiram verificar cerca de 100 milhões de números por hora. À Wired, os pesquisadores afirmaram que essa foi “a exposição mais extensa de números de telefone e dados de usuários já documentada”.
Parte dos usuários espera justamente mais segurança com dados com a chegada dos nomes de usuário ao WhatsApp. Entretanto, a Meta não divulgou, até o momento, se o uso de número de celular continuará sendo obrigatório no app.
Após a descoberta e a conclusão do trabalho, os pesquisadores deletaram a cópia dos dados e alertaram a Meta em abril. Seis meses depois, em outubro, a empresa corrigiu a vulnerabilidade, implementando limites mais rígidos.
Meta diz que dados já eram públicos
Em comunicado, a Meta agradeceu aos pesquisadores, que submeteram a descoberta através do programa de recompensa por bugs da empresa.
No entanto, a gigante da tecnologia minimizou a gravidade do vazamento, classificando os dados coletados como “informações básicas publicamente disponíveis”, uma vez que fotos e recados só foram capturados de usuários que optaram por não restringir a privacidade nas configurações.
A empresa afirma ainda que não encontrou evidências de que atores mal-intencionados tenham abusado dessa mesma falha antes da correção. Vale lembrar que a companhia foi denunciada, em setembro desse ano, por ignorar deliberadamente falhas de segurança e privacidade no aplicativo.
Fonte: Tecnoblog
