Adoção em massa do WhatsApp Uma razão para isso é a facilidade de encontrar novos contatos em plataformas de mensagens. Adicione o número de telefone de alguém, whatsapp Ele mostra instantaneamente se um usuário aderiu ao serviço e, muitas vezes, também mostra a foto e o nome do perfil.
Depois de repetir o mesmo truque bilhões de vezes com todos os números de telefone possíveis, descobriu-se que o mesmo recurso também funciona como uma maneira conveniente de obter os números de celular de quase todos os usuários do WhatsApp no planeta, muitas vezes com fotos de perfil e textos que identificam cada usuário. Como resultado, uma parcela significativa da população mundial estará exposta a uma ampla gama de informações pessoais.
Um grupo de pesquisadores austríacos mostrou que conseguiu extrair os números de telefone de 3,5 bilhões de usuários do serviço de mensagens usando um método simples de verificar todos os números possíveis na detecção de contatos do WhatsApp. Também descobrimos que aproximadamente 57% desses usuários tinham acesso à foto do perfil e outros 29% tinham acesso ao texto do perfil. Apesar de um aviso anterior de outro pesquisador em 2017 sobre esse vazamento de dados pelo WhatsApp, a controladora do serviço, Meta, ainda não limita a velocidade ou o número de solicitações de descoberta de contatos que os pesquisadores podem fazer ao interagir com o aplicativo baseado em navegador do WhatsApp, que poderia verificar cerca de 100 milhões de números por hora.
Como explicam os investigadores no seu artigo, os resultados seriam “a maior violação de dados da história se não fossem compilados como parte de um estudo de investigação conduzido de forma responsável”. Um artigo documentando as descobertas.
“Até onde sabemos, isto representa a exposição mais generalizada de números de telefone e dados de utilizadores relacionados alguma vez documentada”, disse Aljosha Jadmeyer, um dos investigadores da Universidade de Viena que trabalhou no estudo.
Os pesquisadores disseram que alertaram a Meta sobre suas descobertas em abril e removeram cópias de 3,5 bilhões de números de telefone. Em Outubro, a empresa tinha resolvido o problema de enumeração ao adoptar medidas mais rigorosas de “limitação de taxas” que bloquearam os métodos de localização de contactos em grande escala utilizados pelos investigadores. Mas até então, o vazamento de dados poderia ter sido explorado por outra pessoa usando a mesma técnica de raspagem, acrescentou Max Günther, outro pesquisador da universidade e coautor do artigo. “Se isso fosse obtido tão facilmente por nós, outros poderiam ter feito o mesmo”, diz ele.
Em comunicado à WIRED, Mehta agradeceu aos pesquisadores que relataram suas descobertas por meio do sistema de “recompensa de bugs” de Mehta e descreveu os dados divulgados como “essencialmente informações públicas” porque as fotos e o texto do perfil não eram visíveis para os usuários que optaram por mantê-los privados. “Já estamos trabalhando no desenvolvimento de sistemas anti-raspagem líderes do setor, e esta pesquisa nos ajudou a testar o estresse e a confirmar a eficácia imediata dessas novas defesas”, escreveu Nitin Gupta, vice-presidente de engenharia do WhatsApp. Gupta acrescentou: “Não encontramos nenhuma evidência de que atores mal-intencionados estejam explorando esse vetor. Como lembrete, graças à criptografia ponta a ponta padrão do WhatsApp, as mensagens dos usuários permanecem privadas e seguras, e os pesquisadores não conseguiram acessar nenhum dado não público”.
