Semana passada eu vivi na pele um problema que muita gente que roda automação de WhatsApp ainda subestima. Um atacante invadiu meu ambiente do Evolution API e usou minhas próprias instâncias para disparar mensagens de “jogo do tigrinho” (aquelas promessas de aposta com lucro fácil) para um monte de gente de uma vez só. Resultado: bloqueio temporário do meu número no WhatsApp, dor de cabeça com quem recebeu o spam e a sensação desagradável de ter sido usado como ferramenta de golpe sem nem perceber.
Escrevo este relato não para me lamentar, mas porque a causa raiz é banal e atinge praticamente qualquer pessoa que mantém sistemas rodando sem atualizar. E na era da IA, esse descuido custa mais caro do que nunca.
O que aconteceu, em ordem
Eu tinha algumas instâncias do Evolution API no ar, integradas aos meus fluxos. Em algum momento, um terceiro conseguiu acesso e passou a comandar essas instâncias para enviar mensagens em massa. Como o disparo partia do meu número, foi o meu número que o WhatsApp puniu. Para o algoritmo de detecção da Meta, eu era o spammer — o atacante ficou invisível, e eu fiquei com a conta bloqueada.
A peça que costura tudo isso é simples: minha versão do Evolution API estava desatualizada. Versões antigas acumulam vulnerabilidades já conhecidas e corrigidas em releases mais novos. Rodar uma versão velha exposta na internet é, na prática, deixar a porta destrancada com o endereço publicado.
Por que isso é tão comum (e tão perigoso)
O Evolution API é uma ferramenta poderosa justamente porque dá controle programático sobre o WhatsApp. Esse mesmo poder, nas mãos erradas, vira uma máquina de spam e golpe. Alguns fatores que aumentam o risco:
Instâncias expostas sem autenticação forte. Muita gente sobe o Evolution com a API key padrão, fraca ou até sem proteção de rede, acessível de qualquer lugar. Bots varrem a internet o tempo todo procurando exatamente esse tipo de endpoint aberto.
Versões antigas com falhas conhecidas. Cada atualização costuma corrigir brechas. Quem não atualiza fica vulnerável a exploits que já são públicos — o atacante não precisa nem ser habilidoso, basta usar uma receita pronta.
Falta de monitoramento. Sem logs e alertas, o disparo em massa só é notado quando o estrago já aconteceu: o número bloqueado, as mensagens entregues, a reputação manchada.
A responsabilidade é sua. Como o envio sai do seu número e da sua infraestrutura, o ônus legal e reputacional recai sobre você. Dependendo do conteúdo (golpe de apostas, por exemplo), isso pode ir muito além de um bloqueio temporário.
O agravante da era da IA
O que antes exigia algum conhecimento técnico hoje está automatizado e barateado. Ferramentas de IA permitem que atacantes:
- Escaneiem e identifiquem servidores vulneráveis em escala, cruzando versões expostas com listas de vulnerabilidades conhecidas.
- Gerem variações de mensagens de golpe em segundos, driblando filtros de spam com textos sempre diferentes.
- Orquestrem campanhas inteiras com pouca supervisão humana, usando infraestrutura de terceiros (como a minha) para diluir o rastro.
Em outras palavras: a janela entre “vulnerabilidade publicada” e “vulnerabilidade explorada em massa” encurtou drasticamente. Um sistema desatualizado que há alguns anos talvez passasse despercebido por meses, hoje é encontrado e explorado em questão de horas.
O que eu deveria ter feito — e o que recomendo
Se você roda Evolution API ou qualquer serviço exposto, trate estes pontos como mínimo obrigatório:
Mantenha tudo atualizado. Acompanhe os releases do Evolution API e aplique atualizações com regularidade, não só “quando der”. Vulnerabilidade corrigida não te protege se você não instalou a correção.
Proteja o acesso. Use uma API key forte e única. Não exponha a porta do Evolution diretamente na internet — coloque atrás de um proxy reverso, restrinja por IP ou VPN, e use HTTPS sempre.
Isole e limite. Rode em containers, com firewall configurado para liberar apenas o necessário. Quanto menor a superfície de ataque, melhor.
Monitore. Configure logs e alertas para volume anormal de mensagens. Um pico súbito de disparos deveria te avisar antes do WhatsApp avisar.
Tenha um plano de resposta. Saiba como derrubar instâncias rapidamente, revogar credenciais e rotacionar chaves se algo der errado. Minutos importam.
Princípio do menor privilégio. Cada credencial e cada serviço deve ter só o acesso estritamente necessário. Se uma chave vazar, o estrago é contido.
O recado
Não foi o Evolution API que falhou comigo — fui eu que deixei uma versão velha exposta. A ferramenta é ótima; a responsabilidade pela manutenção é de quem opera. “Está funcionando, não mexe” é um conforto perigoso: software que não é atualizado não fica parado, ele apodrece em segurança enquanto o mundo lá fora evolui em capacidade de ataque.
Se você tem qualquer sistema rodando — Evolution, um WordPress, um painel administrativo, uma API qualquer — pare hoje e responda: está atualizado? O acesso está protegido? Você saberia se ele estivesse sendo abusado agora? Se a resposta para qualquer uma dessas perguntas for “não” ou “não sei”, você está na mesma posição em que eu estava antes do ataque.
Atualizar dá trabalho. Ser usado como ferramenta de golpe e ter o número bloqueado dá muito mais.