Para muita gente, o WhatsApp já virou praticamente sinônimo de comunicação: é onde estão os grupos da família, da empresa, da escola dos filhos e até as conversas mais íntimas. Justamente por isso, qualquer falha de segurança no aplicativo tem um peso enorme. E foi exatamente isso que um grupo de pesquisadores austríacos revelou: durante anos, era possível verificar em massa se um número de telefone estava ou não cadastrado no WhatsApp e, com isso, montar um gigantesco catálogo de usuários. 
No total, eles conseguiram mapear 3,5 bilhões de números – uma amostra tão grande que, estatisticamente, o seu número provavelmente está lá no meio.
O mais assustador não é nem a quantidade de dados, mas sim o quão simples era explorar a brecha. Pense no funcionamento do app no dia a dia: você adiciona um número na agenda ou digita o telefone na busca do WhatsApp, e o aplicativo responde se aquela pessoa está na plataforma. É um recurso super cômodo para descobrir rapidamente quem já usa o serviço. Agora imagine esse mesmo processo repetido por um script automático, centenas de milhares de vezes por minuto, testando sequências de números em série. Foi basicamente isso que os pesquisadores fizeram – e o servidor do WhatsApp, por muito tempo, não colocava limites claros nessa enxurrada de consultas.
Enquanto analisavam a implementação da criptografia de ponta a ponta do WhatsApp, a equipe da Universidade de Viena decidiu olhar também para tudo que está em volta das mensagens: metadados, mecanismos de descoberta de contatos e configurações de privacidade. Nesse processo, encontraram o elo fraco: o sistema de verificação de números aceitava um volume absurdo de requisições, sem aplicar um controle rígido de frequência, o famoso “rate limiting”. Em um experimento prático, eles conseguiram verificar cerca de 30 milhões de números dos Estados Unidos em apenas meia hora, identificando em quais havia contas ativas. Repetindo a técnica em diferentes faixas de numeração e países, montaram uma base com 3,5 bilhões de contas do mundo todo.
Essa base não continha apenas a informação binária “este número tem WhatsApp” ou “não tem”. As configurações padrão de privacidade de muitos usuários são bastante abertas, e isso apareceu com força nos resultados. Aproximadamente 57% dos perfis mapeados exibiam a foto para qualquer pessoa, não apenas para contatos salvos. Ou seja, um script malicioso poderia não só confirmar que o número existe, mas também baixar milhões de fotos de perfil. Além disso, cerca de 29% dos usuários mantinham o recado ou texto do perfil visível para todos, o que adiciona mais contexto: frases pessoais, profissão, cidade, links para outras redes ou até o nome da empresa onde a pessoa trabalha.
Nas mãos dos pesquisadores, esses dados serviram como prova de conceito de um problema sério de arquitetura. Mas é fácil imaginar o que alguém com intenções maliciosas poderia fazer com o mesmo tipo de coleta. Uma lista gigantesca de números confirmados como usuários do WhatsApp, acompanhada de fotos e pequenos textos, é ouro puro para golpistas e spammers. Dá para segmentar vítimas por país, por código de área, por idioma presumido e até por faixa etária e gênero, inferidos pelas fotos. A partir daí, surgem golpes muito mais convincentes: mensagens que parecem vir de um “colega”, de um “banco local”, de uma “transportadora da sua região” ou de alguém que aparenta conhecer detalhes da sua vida.
O que torna tudo ainda mais incômodo é o fator tempo. Segundo a equipe austríaca, Meta – a dona do WhatsApp – foi alertada sobre a falta de proteção adequada nesse mecanismo de verificação ainda em 2017, por outro grupo de pesquisadores. Mesmo assim, a forma básica de funcionamento permaneceu praticamente a mesma por anos. Na prática, qualquer desenvolvedor com um pouco de experiência em scripts e acesso a um servidor em nuvem poderia estar fazendo esse tipo de varredura em segundo plano, montando seu próprio “catálogo global do WhatsApp” sem chamar a atenção.
Somente agora a história ganhou um desfecho mais concreto. Em abril deste ano, a equipe de Viena enviou para a Meta um relatório detalhado explicando passo a passo a falha, com números, cenários de abuso e impacto real na privacidade dos usuários. Eles reforçaram um ponto que muita gente esquece: ter mensagens protegidas por criptografia de ponta a ponta é ótimo, mas não basta. Se todos os mecanismos em volta – como descoberta de contatos, exposição de foto e status, ou tratamento de metadados – forem permissivos demais, ainda assim é possível construir perfis bem completos dos usuários.
Depois de anos de alerta morno, a Meta finalmente agiu. Em outubro, a empresa implementou limites mais rígidos na taxa de consultas relacionadas à descoberta de contatos dentro do WhatsApp. Em teoria, isso deve dificultar muito o trabalho de quem tenta repetir hoje a mesma estratégia de varredura em massa. Os pesquisadores afirmam que apagaram seus próprios bancos de dados e não irão compartilhá-los com terceiros. Mas permanece a pergunta que ninguém consegue responder com certeza: quantos outros grupos já exploraram essa brecha antes, em silêncio, e quantas cópias dessas informações já circulam em fóruns obscuros na internet.
O contraste fica ainda maior quando olhamos para mensageiros criados desde o início com foco em privacidade. O Signal é o exemplo mais conhecido: além de aplicar um “rate limiting” bem mais agressivo, o app trabalha com o mínimo possível de metadados sobre o usuário. Mesmo que alguém tenha um conjunto de números, não consegue bombardear o serviço com consultas infinitas. O Signal também oferece ferramentas extras, como o recurso de relé de chamadas, que esconde seu endereço IP, e a proteção de tela, que dificulta a captura de prints das suas conversas.
E não é como se a Meta não tivesse histórico. Em 2021, veio à tona um vazamento com informações de cerca de 530 milhões de usuários do Facebook. O roteiro foi parecido: golpistas exploraram um recurso oficial que permitia buscar perfis pelo número de telefone e, aos poucos, foram raspando dados públicos e semipúblicos até montar uma superbase com nomes, cidades, alguns locais de trabalho e outros detalhes. Uma função pensada para ajudar a achar amigos acabou virando mais uma fábrica de dados para quem quer abusar do sistema.
O que isso tudo significa para quem continua usando o WhatsApp todos os dias? No curto prazo, o risco de alguém repetir a mesma coleta em escala planetária diminuiu, graças aos novos limites. Mas o episódio é um lembrete importante para rever suas configurações. Vale a pena restringir a foto de perfil e o recado para que só seus contatos vejam – ou até ninguém, se você prefere discrição máxima. Também é bom ficar mais atento a mensagens inesperadas: o fato de um desconhecido saber seu nome, cidade ou profissão não quer dizer que seja um contato legítimo; às vezes é só o resultado de um bom cruzamento de dados abertos.
Por fim, sobra a questão da confiança. Para muitos brasileiros, abandonar o WhatsApp simplesmente não é uma opção, porque todas as relações sociais e profissionais passam por ali. Outros já adotam uma estratégia híbrida: mantêm o WhatsApp para conversas triviais, grupos numerosos e recados rápidos, mas transferem discussões mais sensíveis para alternativas como o Signal. Seja qual for o seu caso, a lição que fica é clara: não basta ver o selo de “criptografia de ponta a ponta” e achar que está tudo resolvido. A verdadeira privacidade depende também de como a empresa trata o restante dos seus dados – e de quão rápido corrige falhas óbvias quando alguém bate à porta apontando o problema.