NOVOAgora você pode ouvir os artigos da Fox Information!
A maioria das principais plataformas tem lidado com vazamentos de dados em grande escala vinculados a APIs fracas ou desprotegidas. Você já viu isso acontecer com o Fb, X e até mesmo com a Dell.
O padrão é sempre o mesmo. Um recurso destinado a facilitar a vida torna-se uma porta de entrada para coleta de dados em massa.
O WhatsApp agora faz parte dessa lista depois que pesquisadores conseguiram raspar 3,5 bilhões de números de telefone explorando uma simples lacuna no sistema de descoberta de contatos do aplicativo.
Inscreva-se para receber meu relatório CyberGuy GRATUITO
Receba minhas melhores dicas técnicas, alertas de segurança urgentes e ofertas exclusivas diretamente na sua caixa de entrada. Além disso, você terá acesso instantâneo ao meu Final Rip-off Survival Information – gratuitamente ao ingressar no meu CYBERGUY.COM boletim informativo.
Como os pesquisadores coletaram 3,5 bilhões de números do WhatsApp
WHATSAPP PROIBE 6,8M DE CONTAS SCAM, LANÇA FERRAMENTA DE SEGURANÇA
Os pesquisadores descobriram que os limites fracos da API tornaram possível roubar bilhões de números do WhatsApp. (Imagens Getty)
Conforme relatado pelo Bleeping Laptop, todo o incidente começou com a API GetDeviceList do WhatsApp. Este é o endpoint que o aplicativo usa quando você adiciona um número aos seus contatos. Diz ao WhatsApp para verificar se aquele número possui uma conta e quais dispositivos estão vinculados a ele. O problema period que a API não tinha limitação de taxa significativa. Em termos simples, o sistema não desacelerou nem bloqueou solicitações repetidas, o que abriu a porta para a enumeração em massa.
Pesquisadores da Universidade de Viena e da SBA Analysis decidiram testar até onde poderiam levar isso. Usando apenas cinco sessões autenticadas e um único servidor universitário, eles começaram a sobrecarregar os servidores do WhatsApp com consultas. Eles esperavam ser bloqueados rapidamente, mas o WhatsApp não reagiu.
Foi assim que conseguiram verificar mais de 100 milhões de números de telefone por hora. Depois de gerar um conjunto world de 63 bilhões de números de celular possíveis, eles analisaram a lista por meio da API e confirmaram 3,5 bilhões de contas ativas do WhatsApp.
Os pesquisadores conseguiram raspar mais do que apenas números de telefone
Os pesquisadores não se limitaram a confirmar a existência da conta. Eles usaram outros endpoints do WhatsApp, como GetUserInfo, GetPrekeys e FetchPicture, para obter mais detalhes. Isso incluía fotos de perfil, texto “sobre”, informações do dispositivo e chaves públicas. Somente um teste realizado nos Estados Unidos baixou 77 milhões de fotos de perfis sem atingir nenhum limite, muitas delas com imagens nítidas dos rostos das pessoas. As seções públicas “sobre” geralmente revelavam informações pessoais ou hyperlinks para outros perfis. Quando comparados com a situação do Fb em 2021, eles descobriram que 58% dos números vazados do Fb ainda estavam ativos no WhatsApp anos depois. É isso que torna os vazamentos de números de telefone tão prejudiciais. Eles permanecem úteis para os invasores muito depois da violação inicial.
LEGISLADORES RUSSOS AFIRMAM QUE O WHATSAPP É UMA AMEAÇA À SEGURANÇA NACIONAL, DEVEM SE PREPARAR PARA DEIXAR O PAÍS
É importante ressaltar que este estudo foi feito por pesquisadores que não divulgaram os dados. Eles também relataram o problema ao WhatsApp. Desde então, a empresa adicionou proteções de limitação de taxa para evitar que abusos semelhantes aconteçam novamente. Ainda assim, as descobertas mostram quão facilmente os agentes da ameaça poderiam ter feito a mesma coisa se tivessem encontrado a brecha primeiro.
Por que isso continua acontecendo nas principais plataformas
Limites de taxa de API fracos ou inexistentes causaram vários vazamentos importantes de dados nos últimos anos, e o WhatsApp não é o único exemplo. Em 2021, os invasores abusaram do recurso “Adicionar amigo” do Fb, enviando listas de contatos e verificando quais números correspondiam às contas ativas. A API carecia de salvaguardas adequadas, então eles eliminaram 533 milhões de perfis. Posteriormente, a Meta confirmou o incidente como raspagem automatizada, e o DPC irlandês multou a empresa em € 265 milhões.
O Twitter teve um problema semelhante quando os invasores usaram um bug de API para combinar números de telefone e endereços de e-mail com 54 milhões de contas. A Dell também informou que 49 milhões de registros de clientes foram apagados depois que invasores aproveitaram um endpoint de API desprotegido.
Todos esses casos compartilham a mesma causa raiz. APIs que permitem pesquisas de contas ou consultas de dados acabam sendo fáceis de atacar quando não limitam a frequência com que alguém pode acessá-las. Um recurso não verificado pode se transformar em um pipeline para coleta de dados em massa.
7 etapas que você pode seguir para manter seus dados do WhatsApp seguros
Se o seu número de telefone acabar em um desses problemas enormes, você não poderá retirá-lo, mas pode ter certeza de que será muito menos útil para qualquer pessoa que esteja tentando atingir você. Aqui estão algumas etapas que ajudam você a se manter mais seguro.
1) Use autenticação de dois fatores
Ative o 2FA para WhatsApp e todas as outras contas importantes. Mesmo que alguém tenha seu número, não poderá invadir sem a segunda etapa de verificação. Ele também protege você contra tentativas de troca de SIM, pois os ladrões não podem acessar suas contas apenas com uma senha.
Um script automatizado simples extraiu dados do telefone em grande escala sem acionar alertas. (produções eyecrave/Getty Photographs)
2) Use um gerenciador de senhas
Um gerenciador de senhas mantém cada login único. Se os invasores tentarem emparelhar seu número copiado com ataques de preenchimento de credenciais, as senhas reutilizadas não lhes proporcionarão uma vitória fácil. Senhas fortes e aleatórias encerram toda uma categoria de ataques automatizados.
A seguir, veja se o seu e-mail foi exposto em violações anteriores. Nossa escolha número 1 de gerenciador de senhas inclui um scanner de violação integrado que verifica se seu endereço de e-mail ou senhas apareceram em vazamentos conhecidos. Se você descobrir uma correspondência, altere imediatamente todas as senhas reutilizadas e proteja essas contas com credenciais novas e exclusivas.
Confira os melhores gerenciadores de senhas revisados por especialistas de 2025 em Cyberguy. com.
3) Remova seus dados de bancos de dados públicos
Desative corretores de dados e websites de pesquisa de pessoas quando puder. Quanto menos informações públicas os invasores conseguirem vincular ao seu número, mais difícil será para eles criarem mensagens de phishing convincentes ou golpes baseados em identidade.
Embora nenhum serviço possa garantir a remoção completa dos seus dados da Web, um serviço de remoção de dados é realmente uma escolha inteligente. Eles não são baratos e nem a sua privacidade. Esses serviços fazem todo o trabalho para você, monitorando ativamente e apagando sistematicamente suas informações pessoais de centenas de websites. É o que me dá tranquilidade e provou ser a forma mais eficaz de apagar seus dados pessoais da web. Ao limitar as informações disponíveis, você reduz o risco de os golpistas cruzarem dados de violações com informações que possam encontrar na darkish internet, tornando mais difícil para eles atingirem você.
O NÚMERO DE TELEFONE DO SEU AMIGO ESTÁ COMPROMETIDO? AQUI ESTÁ O QUE PROCURAR
Confira minhas principais opções de serviços de remoção de dados e faça uma verificação gratuita para descobrir se suas informações pessoais já estão na internet visitando Cyberguy. com.
Faça uma verificação gratuita para descobrir se suas informações pessoais já estão na internet: Cyberguy. com.
4) Limite o que você compartilha nas biografias do perfil
Mantenha o mínimo de texto “sobre” do WhatsApp. Evite detalhes como cargos, cidade natal ou hyperlinks para outras contas. Números de telefone copiados geralmente são combinados com biografias visíveis publicamente para criar perfis mais completos para golpes.
5) Reforce suas configurações de privacidade
Ajuste quem pode ver sua foto de perfil, última visualização e standing. Configurá-los como “Somente contatos” ou “Ninguém” evita que estranhos obtenham mais informações pessoais depois de obterem seu número. Para restringir suas configurações de privacidade no WhatsApp no iPhone ou Android, siga estas etapas:
- Abra o WhatsApp no seu telefone no seu telefone.
- Vá para Configurações: Sobre iPhonetoque no “Ícone de engrenagem “Configurações” no canto inferior direito. Sobre Androidtoque no três pontos verticais no canto superior direito e selecione “Configurações.”
- Tocar “Conta.”
- Tocar “Privacidade.”
- Ajuste as opções de privacidade abaixo para controlar quem pode ver suas informações pessoais:
- Visto pela última vez e on-line: Tocar “Visto pela última vez e on-line” e escolha “Meus Contatos” ou “Ninguém” para restringir quem vê seu último standing ativo.
- Foto do perfil: Tocar “Foto do perfil” e selecione “Meus Contatos” ou “Ninguém” para evitar que estranhos vejam sua foto de perfil.
- Sobre: Tocar “Sobre” e escolha “Meus Contatos” ou “Ninguém” para limitar quem pode ver suas informações sobre.
- Standing: Tocar “Standing,” em seguida, selecione “Meus contatos”, “Meus contatos, exceto…,” ou “Compartilhe apenas com…” para controlar quem pode ver suas atualizações de standing.
Essas mudanças evitam que pessoas que não são seus contatos ou estranhos extraiam detalhes pessoais do seu perfil do WhatsApp, melhorando sua privacidade de forma eficaz em dispositivos iPhone ou Android.
Como o sistema não tinha limitação de taxa adequada, a raspagem continuou sem ser detectada por meses. (Kurt Knutsson)
6) Instale um software program antivírus forte
Muitas campanhas de phishing e malware começam com números copiados. Um software program antivírus forte pode bloquear hyperlinks maliciosos, detectar downloads prejudiciais e avisar quando algo parecer suspeito.
A melhor maneira de se proteger contra hyperlinks maliciosos que instalam malware, potencialmente acessando suas informações privadas, é ter um software program antivírus forte instalado em todos os seus dispositivos. Essa proteção também pode alertá-lo sobre e-mails de phishing e golpes de ransomware, mantendo suas informações pessoais e ativos digitais seguros.
Obtenha minhas escolhas dos melhores vencedores de proteção antivírus de 2025 para seus dispositivos Home windows, Mac, Android e iOS em Cyberguy. com.
7) Tenha cuidado com chamadas e mensagens desconhecidas
Trate mensagens inesperadas com mais suspeita. Não clique em hyperlinks, não compartilhe OTPs e não responda a ninguém que solicite códigos de verificação. Depois que os números são copiados, os golpistas aumentam as tentativas de spam e de falsificação de identidade.
A principal lição de Kurt
O WhatsApp pode ter resolvido o problema, mas o problema maior ainda existe. Qualquer plataforma que exponha uma API sem limites de taxa adequados deixa uma janela aberta para alguém com as ferramentas certas e tempo suficiente. Este arranhão mostra a rapidez com que essa janela pode se transformar em uma mangueira de dados pessoais. Até que a segurança da API se torne uma prioridade geral, você continuará vendo vazamentos como esse se repetindo em escalas cada vez maiores.
Você acha que os aplicativos deveriam ser legalmente obrigados a impor limites rígidos de API? Informe-nos escrevendo para nós em Cyberguy. com.
CLIQUE AQUI PARA BAIXAR O APLICATIVO FOX NEWS
Inscreva-se para receber meu relatório CyberGuy GRATUITO
Receba minhas melhores dicas técnicas, alertas de segurança urgentes e ofertas exclusivas diretamente na sua caixa de entrada. Além disso, você terá acesso instantâneo ao meu Final Rip-off Survival Information – gratuitamente ao ingressar no meu CYBERGUY.COM boletim informativo.
Copyright 2025 CyberGuy.com. Todos os direitos reservados.
