A investigação demonstrou que era possível automatizar consultas em massa à API do WhatsApp para verificar se números de telefone gerados aleatoriamente estavam associados a contas ativas, a um ritmo de até 7.000 números por segundo. Este método não só confirmou a existência das contas, como permitiu aceder a dados públicos como fotografias de perfil (em 57% dos casos) e informações de estado. A escala da exposição é alarmante, com os investigadores a classificarem o potencial impacto como “a maior fuga de dados da história”.

O mais preocupante é que esta vulnerabilidade não é nova; já em 2017, um investigador tinha alertado a Meta para o mesmo problema, mas a empresa desvalorizou o risco, recomendando apenas que os utilizadores ajustassem as suas definições de privacidade.

A falha permaneceu, assim, explorável durante sete anos.

Após ser notificada formalmente em abril de 2025, a Meta implementou finalmente contramedidas em outubro, que limitam o número de pesquisas por utilizador.

A empresa minimizou a gravidade do incidente, afirmando que os dados expostos eram “informação pública básica”.

No entanto, a recolha massiva destes dados poderia ter consequências graves, como a criação de bases de dados para campanhas de phishing ou spam. O caso reabre o debate sobre a fragilidade de usar números de telefone como identificadores únicos em plataformas desta dimensão.