Por Marco Aurélio – Perito em Segurança Digital | M A Segurança Digital
Publicado em 21/11/2025
Uma falha técnica no WhatsApp permitiu a coleta automática de dados de até 3,5 bilhões de usuários, incluindo números de telefone, fotos de perfil e demais metadados. No Brasil, esse vazamento se combina com a revelação de chaves Pix visíveis em perfis, criando um cenário propício para golpes sofisticados. Neste artigo, examinamos os fatos, os riscos jurídicos e as recomendações práticas para usuários e empresas.
1. O que aconteceu
Pesquisadores identificaram que o WhatsApp permitia consultas massivas de perfis por número de telefone, retornando foto de perfil, nome e status automaticamente. Tal falha viabilizou a extração em larga escala de dados considerados públicos, mas exploráveis. Em paralelo, no Brasil, foram identificadas contas onde a chave Pix aparece no perfil, o que aumenta o risco de fraude ao tornar o uso indevido mais fácil.
2. Impactos e riscos para usuários
Com esses dados em mãos, criminosos podem realizar golpes direcionados: enviar mensagens que simulam contato conhecido, usar foto e nome reais da vítima para ganhar confiança, solicitar Pix ou valores ou substituir atendimentos legítimos. O Brasil, com alta penetração do WhatsApp e uso da chave Pix, torna-se alvo privilegiado dessa combinação.
3. Implicações jurídicas e regulatórias
A exposição em massa de dados pessoais, ainda que públicos, configura grave risco à privacidade e pode acarretar responsabilidades. No âmbito jurídico brasileiro, situações como essa podem envolver:
- Verificação de falha da plataforma no cumprimento da obrigação de segurança (artigos da LGPD)
- Investigação de uso indevido desses dados para prática de fraudes ou estelionato
- A possibilidade de responsabilização civil de usuários ou da plataforma, caso comprovada negligência na proteção de metadados ou permissões de acesso.
4. Medidas práticas para usuários e empresas
Para usuários:
- Limite visibilidade de foto, status ou recado no perfil do WhatsApp apenas para seus contatos
- Evite deixar a chave Pix ou dados bancários visíveis em perfil ou imagem
- Ative a verificação em duas etapas e mantenha o aplicativo atualizado
- Desconfie de mensagens urgentes solicitando pagamento via Pix ou dados pessoais
Para empresas e plataformas:
- Realizar auditoria sobre metadados e acessos automatizados
- Implementar limitação de consultas massivas por número ou perfil
- Elaborar política de privacidade clara e visível, com avaliação de riscos de engenharia social
- Treinar usuários, atendimento e TI para reconhecer tráfego anômalo e fraude baseada em metadados.
5. Conclusão
O incidente reforça que, mesmo em sistemas populares e amplamente utilizados, a segurança e a privacidade não podem ser consideradas garantidas por padrão. Os metadados — fotos, números, chaves de pagamento — são elementos que, usados de forma combinada, fornecem munição poderosa aos fraudadores. A proteção digital exige consciência, prática constante e responsabilidade tanto de usuários quanto de plataformas.
Por Marco Aurélio – Perito em Segurança Digital | M A Segurança Digital
Formado em Segurança Pública, Bacharel em Direito e Especialista em Perícia Digital Forense e Direito Digital, Marco Aurélio atua como palestrante em Segurança Digital, com foco na prevenção e análise de incidentes cibernéticos, proteção de dados e compliance digital. Criador da M A Segurança Digital, dedica-se a traduzir a tecnologia em linguagem jurídica e prática para empresas e profissionais do Direito.