Pesquisadores da Universidade de Viena descobriram que o WhatsApp manteve, por anos, uma falha que permitia a extração de dados de bilhões de usuários, incluindo números de celular e informações públicas. Essa brecha estava relacionada à ferramenta de busca utilizada para iniciar conversas com contatos não salvos, permitindo que os dados fossem coletados em massa.
O método de extração, conhecido como enumeração ou scraping, não apresentava um limite eficaz de consultas, o que possibilitava testar sequências de números para identificar contas ativas. Segundo o estudo, essa técnica poderia mapear informações de cerca de 3,5 bilhões de usuários, número superior ao total informado oficialmente pelo WhatsApp, que é de 2 bilhões.
Ainda conforme a pesquisa, além dos números de telefone, era possível obter fotos e frases de perfil, embora as mensagens permanecessem protegidas por criptografia. Os pesquisadores realizaram até 7 mil buscas por segundo sem sofrer bloqueios e afirmaram ter descartado os dados coletados após os testes.
Os dados extraídos possibilitaram a elaboração de um “censo” mundial do WhatsApp, revelando, por exemplo, que o Brasil contabiliza 206 milhões de usuários, sendo o terceiro maior mercado da plataforma, onde 61% dos usuários mantêm suas fotos de perfil visíveis. O estudo ressalta que informações dessa natureza podem ser utilizadas para golpes, spam e ataques de phishing.
A equipe de pesquisadores alertou a Meta, empresa responsável pelo WhatsApp, desde 2024 sobre a falha. Contudo, foi apenas após o anúncio da publicação do estudo em setembro de 2025 que a empresa começou a tomar medidas mais efetivas. Em resposta, o WhatsApp declarou ter implementado novas defesas contra scraping e agradeceu pela colaboração, afirmando que não existem indícios de uso malicioso da vulnerabilidade.