WhatsApp tem falha que expôs dados de 206 milhões de brasileiros
Por Lillian Sibila Dala Costa • Editado por Jones Oliveira |
Encontrar o contato de alguém no WhatsApp é bem fácil, bastando adicionar o número da pessoa na lista de contatos. Em seguida, se a pessoa usar o app, a opção de conversar com ela já deverá aparecer, frequentemente com nome e foto de perfil inclusos. Você já percebeu que, se ao adicionar números aleatoriamente, poderá revelar muito sobre desconhecidos?
É o que cientistas austríacos fizeram, reproduzindo o processo de adicionar números algumas bilhões de vezes e obtendo o contato da maioria dos usuários do WhatsApp do planeta. A atividade expõe informações pessoais de uma porção significativa de todas as pessoas do mundo e representa uma vulnerabilidade significativa.
Brecha nos contatos do WhatsApp
Pesquisadores da Universidade de Viena demonstraram a falha de segurança do WhatsApp ao extrair 3,5 bilhões de números de celular usando o aplicativo: destes, 57% estavam com a foto de perfil à mostra, e 29% com textos públicos no perfil, como status ou nome. Para piorar, a vulnerabilidade já havia sido reportada em 2017, mas a Meta não conseguiu (ou não quis) conter a brecha.
O que provou a falta de ação foi a checagem de cerca de 100 milhões de números por hora na pesquisa. No artigo, os cientistas relataram que esse poderia ser “o maior vazamento de dados da história”, se não estivesse sendo um teste controlado para fins científicos.
Os pesquisadores avisaram a Meta sobre os achados ainda em abril e apagaram a base de dados coletada; a empresa afirmou ter limitado a taxa de descoberta de novos números para impedir procedimentos rápidos como o do estudo.
À Wired, a Meta emitiu um comunicado agradecendo aos cientistas e reportando que a descoberta passou pelo programa de “recompensas por bugs” da empresa, descrevendo os dados expostos como “informação disponível publicamente”. De acordo com a Meta, os usuários podem tornar sua foto e descrição privados, e a companhia não encontrou evidências de agentes maliciosos se aproveitando da falha.
O problema é que a empresa também disse estar trabalhando em defesas contra scraping de dados e afirmou que os cientistas acabaram testando sua eficiência, mas os pesquisadores afirmaram não ter encontrado nenhum impedimento durante a pesquisa.
Há oito anos, o pesquisador neerlandês Loran Kloeze apontou a mesma falha, mostrando que um sistema de reconhecimento facial poderia ser usado para criar uma base de dados de usuários.
À época, a Meta (que ainda era apenas Facebook) disse que a privacidade dos usuários funcionava como esperado, com a opção de tornar as informações privadas disponível, e desconsiderando o achado no sistema de recompensas por bugs.
No Brasil, dos 206 milhões de usuários encontrados pela pesquisa austríaca, 61% têm a foto de perfil exposta. Curiosamente, a pesquisa também encontrou usuários em países onde o app é banido, como Mianmar e China, na casa dos milhões, um uso clandestino provavelmente auxiliado por VPNs. Os governos de tais países podem, em teoria, usar o método para caçar os usuários ilegais.
Leia também:
- Hackers chineses usam IA para automatizar campanha de ciberespionagem
- Nem a Nvidia escapou: Pesquisadores acham brechas graves em motores de IA
- Ciberataque na Jaguar Land Rover causou prejuízo de R$ 1,3 bilhão
VÍDEO | Meta IA no WhatsApp: PERIGOSO ou não?
Fonte: Universidade de Viena com informações de Wired