Телефоны пользователей WhatsApp попадают в поисковую выдачу Google

imageФото: medium.com

Независимый исследователь в области безопасности из Индии обнаружил, что ряд телефонных номеров, привязанных к аккаунтам WhatsApp, находится в открытом доступе, так как их индексирует поисковой движок Google. Исследователь подсчитал, что через поисковик можно найти от 29 до 300 тысяч номеров.

Проблема, по словам исследователя, затрагивает пользователей из США, Великобритании, Индии и других стран. По его мнению, утечка вызвана внедрением функции «Click to Chat». Благодаря ей можно добавить пользователя в свой список контактов, отсканировав QR-код. Каждой учетной записи предоставляется уникальный QR-код, который при декодировании показывает URL-адрес на wa.me

Whatsapp использует chat.whatsapp.com для создания ссылок на групповые приглашения, а API-интерфейс отправки сообщений Whatsapp Web использует api.whatsapp.com и перенаправляет запрос на web.whatsapp.com.

В функции чата телефонный номер в ссылке не шифруется, поэтому, если эта ссылка используется в открытом доступе, то и номер также отображается в виде открытого текста.

Например, если один пользователь делится этой ссылкой с другим в Twitter, чтобы связаться в Whatsapp, то номер приглашенного отобразится в текстовом виде в URL-адресе. Даже после удаления сообщения ссылка останется в сети, так как бот Google отсканировал URL (https://wa.me/<телефонный_номер>). Таким образом, мошенники и хакеры могут получить полную информацию о профиле человека, если он не защищен настройками приватности.

Специалист указывает на то, что wa.me не имеет файла robots.txt в корне своего сервера, а на страницах отсутствуют мета-теги noindex, которые не позволяют поисковым системам индексировать ссылки.

В Facebook не увидели проблемы в индексации номеров. Там отметили, что в сеть попадают только те данные, которые пользователи делают общедоступными. Между тем сама соцсеть удалила функцию поиска пользователей по их телефонным номерам год назад из-за проблем конфиденциальности и утечек номеров.

Search engines like Google & others list pages from the open web. That«s what«s happening here. It«s no different than any case where a site allows URLs to be publicly listed. We do offer tools allowing sites to block content being listed in our results: https://t.co/D1YIt228E3

— Danny Sullivan (@dannysullivan) February 21, 2020


Представители Threatpost связались с отдельными пользователями, чьи номера были доступны в интернете. Некоторые из них были в курсе того, что их данные попадают в сеть и даже использовали это для продвижения своего бизнеса. Однако многие даже не догадывались об утечке:

imageФото: medium.com

Специалист посоветовал тем пользователям, которые нашли свои номера в сети, либо удалить учетную запись в WhatsApp, либо изменить номер мобильного.

Как отметил ИБ-исследователь, мобильные номера могут быть получены с помощью простого поискового запроса Google www.google.com/search? q=site: wa.me. Чтобы найти номера конкретной страны, скажем, США, нужно добавить код этой страны:

www.google.com/search? q=site%3Awa.me+%22%2B1%22
сайт: wa.me »+1».

imageФото: medium.com

Аналогичным образом номера пользователей любой страны можно найти с помощью поисковика Google по запросу: wa.me »<код страны>».

Ранее в WhatsApp ограничили отправку часто пересылаемых сообщений только одним человеком или группой. Мера была связана с распространение фейков о коронавирусе. Впоследствии команда мессенджера заявила, что это ограничение снизило число «вирусных» сообщений на 70% менее чем за месяц.

См. также:

© Habrahabr.ru