Talvez você já tenha lido alguma coisa a respeito ou visto algum post sobre esse vazamento de 3.5 bilhões de contas do WhatsApp.

Na verdade, não foi um vazamento, foram cientistas que baixaram efetivamente esses dados, mas…

E a maior parte dos artigos e posts que eu li, tava explicando o que aconteceu, mas claro, tinham esses sensacionalistas falando que hackers conseguiram acesso aos seus dados e tal.

Tem horas que eu fico com um pouco de preguiça da internet moderna.

Tem um paper.

Eles explicaram, eles publicaram o paper, tá tudo explicado.

Você vai encontrar o link na descrição desse episódio.

Recomendo que você leia, é bem interessante.

Aliás, porque eu li todo o paper, eu resolvi gravar este episódio.

Eu gostei do que eu li, quero explicar o que eles fizeram e ao mesmo tempo deixar a minha opinião, porque…

Eu andei lendo alguns comentários dizendo que os dados eram públicos mesmo, que os usuários é que tinham que proteger as contas e coisas desse tipo que…

Eu não concordo 100% e eu achei interessante compartilhar aqui a minha opinião.

Então vamos lá, vamos tentar descobrir o que aconteceu com essas contas e qual é a minha opinião a respeito deste assunto.

Sobre o WhatsApp, você já sabe a minha opinião, eu não uso o WhatsApp, mas eu gostei.

Eu gostei de ler esse texto e eu achei interessante a pesquisa que eles fizeram.

Quando você instala o WhatsApp pela primeira vez, ele manda sua lista de contatos para o servidor para verificar se aqueles números batem com outras pessoas que usam o WhatsApp.

Depois que você vai adicionando novos números, ele vai fazendo a mesma coisa.

Se você adicionar no WhatsApp ou na sua agenda, ele vai fazendo a mesma coisa para checar se as pessoas têm.

Eu acho que todos os mensageiros funcionam assim, porque afinal de contas o número de telefone é o que bate, é o que me faz dizer se aquela pessoa tem ou não o aplicativo.

E foi assim que eles fizeram a verificação se as pessoas tinham, se as pessoas usavam ou não, esses 3.5 bilhões de pessoas usavam ou não o WhatsApp.

Eles usaram alguns recursos open source e eles criaram um gerador de números telefônicos.

Quando eles começaram a fazer o teste, eles imaginaram que logo eles iam ser barrados.

Aliás, eles mencionam num artigo que eles não esconderam em nenhum momento que eles estavam fazendo isso, não fizeram de uma forma…

fizeram da forma mais aberta possível usando um único servidor da universidade.

Então isso teria que ter sido detectado com certa agilidade pela meta.

E não aconteceu.

Eles começaram a fazer isso só com os números dos Estados Unidos, que eles falaram, vamos tentar um local, porque aí pelo menos a gente vai ter uma quantidade de dados para testar, para fazer os testes, porque a gente vai ser bloqueado rapidamente.

Eles não foram bloqueados e aí foi que eles resolveram gerar o restante dos números do mundo inteiro.

E aqui já começa um pouco da minha questão com isso.

Isso me pareceu muito amador.

Qualquer local onde você vai hoje e você tenta mais vezes, por exemplo, uma senha ou qualquer outra coisa, se você ficar tentando muito, errar muito o acesso, você é rapidamente bloqueado.

Acho improvável que alguém não tenha pensado sobre isso.

Eu não estou acusando ninguém, não posso acusar ninguém, não tenho prova de nada, mas pense bem.

Ou é muito amadorismo ou é má fé.

Não tem engabelimento eles terem conseguido baixar essa quantidade de contas.

E o que me faz pensar, será que já não fizeram isso antes?

Será que isso já não aconteceu antes e ninguém nunca, por má fé, algum hacker, alguém já não fez isso antes?

Enfim, eles conseguiram validar esses números, então tem os números de telefone, eles validaram esses 3.5 bilhões de números que são usuários de WhatsApp.

Eles conseguiram pegar a imagem de perfil de todas essas contas, as que tinham imagem de perfil, qual era o sistema operacional utilizado, se era Android ou se era iOS.

A informação da bio, tudo que as pessoas escreveram, baixaram a bio inteira das pessoas.

Todas as chaves públicas de criptografia, eles baixaram todas essas chaves e os timestamps, ou seja, quando aquela conta foi criada e quando aquela conta foi utilizada pela última vez.

Também conseguiram baixar informações adicionais do WhatsApp Business.

Eu não sei como funciona o WhatsApp Business, mas eles falam lá em localização, eu estou imaginando que é uma localização física, deve ser a localização do seu negócio, mas eles disseram que conseguiram baixar informações extras, porque é a natureza da conta, uma conta business, ela vai ter mais informações, o que me faz acender alguns alertas aqui para quem usa a própria conta pessoal como business.

Tome cuidado, dê uma olhada ali nas definições de privacidade, veja o que é que você está compartilhando adicionalmente, porque aquela não é a sua conta pessoal.

E é aqui que eu acho que alguns comentários são bem perversos e não fazem sentido.

Comentários das pessoas falando sobre essa situação.

Pessoas dizendo que as pessoas tinham que fechar e que essas informações estão lá e que deviam estar fechadas e que são públicas mesmo.

Veja, o meu pai não sabe disso, a sua mãe não sabe disso, a sua avó não sabe disso, um monte de pessoas que nós conhecemos não são técnicas, eles não têm ideia de que todas essas informações já estão abertas por padrão.

O protocolo Signal, que é o protocolo utilizado pelo WhatsApp, é o mesmo do aplicativo Signal, o aplicativo que eu uso, ele permite criptografar e bloquear várias dessas coisas.

Por que é que a empresa, por que a meta não deixa isso pré-bloqueado por padrão?

Será que tem algum interesse?

Será que tem alguma…

Por que isso está aberto?

E não faz sentido culpar as pessoas, é maldade culpar as pessoas, primeiro porque as pessoas não têm ideia do que é estar aberto.

Talvez elas estejam pensando, só as pessoas do meu convívio, só as pessoas que olham a minha conta fazem parte da minha lista, conseguem ver isso.

Ou podem não estar pensando em absolutamente nada.

Mais uma vez, essas pessoas não têm conhecimento técnico, então o erro é da empresa.

Eu arrisco até dizer má fé, se você olhar lá na Play Store ou na App Store, o que o Signal, o aplicativo Signal coleta é zero, é basicamente um número de telefone.

O nível de bloqueio, o nível de fechamento da conta e o protocolo mais uma vez permite esse tipo de bloqueio, permite esse tipo de proteção imenso.

Por que está tudo aberto no WhatsApp?

Não sei se ainda está, depois dessa confusão toda, imagino que sim.

Então me faz pensar, não é uma empresa que realmente está preocupada, está pensando nos usuários.

O problema de ter essas coisas na bio é o cruzamento.

Veja só, a bio eles encontraram orientação sexual, eles encontraram preferências políticas, eles encontraram links para outras redes sociais, eles encontraram até e-mails e alguns e-mails de contas corporativas, de empresas, de governos, o endereço dos e-mails.

Então imagine começar a cruzar todas essas informações.

Mais uma vez, é fácil culpar o usuário aqui, mas é um perfil.

Eu estou colocando informações talvez para as outras pessoas verem, talvez para os meus colegas de trabalho verem e talvez as pessoas nem saibam que isso é público.

E tem que ser, mais uma vez, criticando os críticos, tem que ser público porque a outra conta tem que ver.

Mas essas pessoas sabiam que dava para baixar esse volume todo de informações ao mesmo tempo?

E aí eles começaram a fazer alguns outros cruzamentos.

Como eles baixaram todas as fotos de perfil, eles também rodaram uma IA nessas fotos de perfil para identificar, porque nem sempre é foto, às vezes é uma imagem, às vezes é uma foto.

Então eles rodaram uma IA em cima dessas fotos de perfil para identificar quais delas eram efetivamente fotos.

E aí eles acendem vários alertas, você começa a perceber a possibilidade de cruzar, porque houve outros ataques no passado.

Você tem um número já, seu número pode estar público e outros ataques podem ter essas informações, e adicionando essas informações uma em cima da outra, você começa a cruzar essas informações e aí você faz uma engenharia social, um ataque muito específico.

E aqui vale uma outra coisa que eu costumo falar, tem gente que não sabe que a informação estava pública dessa forma, e tem gente que não se incomoda e fala, não tem nada a esconder, para mim isso, eu posso falar tudo, ninguém está interessado em mim, a minha vida é um livro aberto, coisas desse tipo.

Para esse tipo de pensamento, o que eu costumo dizer é, não é questão de ter nada a esconder, isso aqui é perfeito para fazer um ataque de engenharia social, isso aqui é perfeito para fazer um spam altamente qualificado.

Então tem uma série de informações e o cruzamento dessas informações que coloca quem pensa que não tem nada a esconder e quem nem sabe que está divulgando essas informações como alvos fáceis.

E para quem acha que não é importante o suficiente para ser atacado, não é assim que as coisas funcionam.

É como jogar uma rede para pescar peixes, o que vier, veio.

Então com essas informações públicas e com as informações que algumas pessoas colocam públicas não se incomodando com isso, vai se juntando tudo isso e aí você tem um bolo, uma forma de atacar em um volume muito grande e acabar pegando algumas pessoas distraídas ou algumas pessoas que realmente não entendem o que está acontecendo e acabam sendo vulneráveis pelo próprio desconhecimento.

É natural, não é todo mundo que entende de tecnologia.

Por exemplo, outra informação incrível que eles conseguiram é quando a mantém o número de telefone ativo, funcionando e tendo informações sendo agregadas ao longo dos anos, ou seja, tenham cada vez mais informação para fazer ataques mais precisos a esses números.

E número de telefone não é uma coisa que as pessoas mudam com frequência, então acho que em várias partes do mundo, talvez em todas as partes, seja possível manter o número e as pessoas tendem a manter o número por um bom tempo.

Então é uma informação que vai se pendurando, esse número vai ser um monte de informações a cada ataque vão sendo publicadas e penduradas a esse número.

Só lembrando que isso aqui não foi um ataque, foi um estudo.

Outra coisa perigosa é que há lugares no mundo em que é proibido usar WhatsApp e se o governo está proibindo usar WhatsApp, não é um governo muito amistoso.

Então agora, aliás, agora não, poderia ter sido feito uma algo assim, investigado pessoas em lugares do mundo onde é proibido ter WhatsApp e saber quem são essas pessoas porque você sabe o número.

O que aliás, em minha opinião, não dá para saber se isso aqui não aconteceu com algum, se um hacker não fez isso antes.

Parece que foi muito simples fazer, eles disseram que algumas coisas levaram apenas horas para baixar.

Então assim, como saber se alguém já não fez isso antes?

Como saber se alguém já não coletou essas informações?

A meta diz que não, que não tem nenhum tipo de evidência que alguém fez isso antes, mas parece que eles nem perceberam o que estava acontecendo, eles não entraram em contato, não bloquearam nada com os cientistas.

Então não sei até que ponto é possível confiar e eu honestamente não confio nessa empresa, então não é bom que eu confiaria que realmente não aconteceu.

Outro número interessante, isso não é um gráfico, é uma tabela, é o número de usuários, aqui tem uma outra tabela que eu achei interessante, então a Ásia, a América do Sul, 95.05% da população usa o WhatsApp, eles disseram que pegaram esses percentuais baseados na população e no número que eles conseguiram de contas do WhatsApp.

União Europeia, 80.84%, Oceania, 47.74%, está tudo lá, América do Norte, 59.32%.

E outro número que eu achei super interessante é que a Índia sozinha, ela é responsável por 21% das contas do WhatsApp, quase 750 milhões de usuários na Índia, o segundo país é a Indonésia com 235 milhões e o terceiro país é o Brasil com 206, Estados Unidos 137, Rússia 132.

Mas enfim, a Índia tem 21.67%, a Indonésia que é o segundo tem 6.8%, o Brasil 5.99%, Estados Unidos 3.99%, é o percentual dos usuários de WhatsApp no mundo, é muita gente na Índia, 21% dos usuários de WhatsApp no mundo estão na Índia, é impressionante os números daquele país.

Ah, ele fala aqui, 2.3 milhões de números na China onde o WhatsApp é banido e tem uma coisa na Coreia do Norte, não sei, aqui ó, na Coreia do Norte, eu não sei, eu não anotei, mas acho que tinham 5 contas na Coreia do Norte onde o WhatsApp também é banido, depois dê uma olhada no artigo, não sei se é exatamente 5, mas de memória eu acho que era exatamente 5.

Enfim, isso para mim mostra mais uma vez o descaso que a empresa tem com os nossos dados, já falei isso outras vezes, quando você olha para escândalos do Facebook, meta, é um escândalo que, vazamento de dados, vazamento de informações parece tão amador, aquela vez que houve o escândalo do Analytica, esse escândalo, que nem chegou a ser escândalo isso aqui porque é um estudo, então na verdade não vazou que a gente saiba, não vazou, mas enfim, esses vazamentos eles parecem sempre amadores, parece que, ah, e recentemente essa história da publicidade, não me lembro, era um número alto, um percentual alto dessas publicidades, digamos, duvidosas que gera, acho que era uns 10% da receita da empresa com esse tipo de publicidade, enfim, tudo parece amador, tudo parece de má fé, não tenho como comprovar nada disso, mas é a impressão, é a sensação que fica quando você olha coisas desse tipo, ou seja, eu não sou nem um pouco preocupado com vocês usuários, estou preocupado em fazer milhões, o que a maior parte das empresas pensa sim, só que pelo menos eles têm um mínimo, parece que eles têm um mínimo de cuidado com os dados, o que o Facebook, a meta, em minha opinião passa é um descaso total com os nossos dados, tudo bem, vamos cuidar aqui mais ou menos, essa é a impressão que sempre fica, porque esse tipo de coisa é muito amador, não entra na minha cabeça.

Enfim, não acho certo culpar o usuário, a maior parte dos usuários não tem a menor ideia do que está acontecendo, que esses dados estão públicos, que você pode colocar esses dados como privados, então se você é um pouco mais, conhece um pouco mais de tecnologia, ajude as pessoas próximas a você, ajude, coloque esses dados, mude a configuração, coloque a maior parte dos dados em modo privado.

Quem prefere ouvir este tipo de conversa, em que eu quase não mostro nada, também está disponível em formato podcast, você vai encontrar informações em vladcampos.com.br podcast.

Se curtiu esse episódio, clique aí no joinha, ajuda bastante.

Um grande abraço e até o próximo.