El servicio de mensajería propiedad de Facebook WhatsApp expuso hasta 300.000 números de teléfono de usuarios a través de los resultados de búsqueda públicos de Google.
Esto es según el investigador indio Athul Jayaram, quien divulgación ese La función «Hacer clic para chatear» de WhatsApp – una herramienta que permite a los usuarios y pequeñas empresas generar una URL a través de la cual otros usuarios pueden contactarlos directamente – no usa cifrado para ocultar el número de teléfono del usuario en su enlace.
Esta «disminución de la privacidad» significa que han aparecido alrededor de 300.000 números de teléfono. Google resultados de búsqueda si alguien buscó «sitio: wa.me».
«Esta función no cifra el número de teléfono en el enlace, por lo que si este enlace se comparte en cualquier lugar, su número de teléfono también es visible en texto sin formato», dijo Jayaram.
«Por ejemplo, comparte este enlace con un amigo en Twitter para que se comunique con usted en WhatsApp. Su número de teléfono celular está visible en texto sin formato en esta URL, y cualquiera que obtenga la URL puede conocer su número de teléfono celular, no puede revocarlo «.
Esto se debe a que la URL «https://wa.me» no tiene un archivo robots.txt en la raíz de su servidor, lo que significa que no se puede evitar que Google y otros robots de motores de búsqueda rastreen e indexen enlaces.
Los listados de Google no revelaron ninguna otra información personal, aunque Jayaram afirma que pudo ver las imágenes y los nombres de las personas que no hicieron que sus datos fueran privados a través de las opciones de seguridad de WhatsApp.
Los usuarios afectados proceden del Reino Unido, EE. UU., India y «casi todos los demás países».
Jayaram informó del problema al dueño de WhatsApp Facebook a través de él. esquema de recompensa por errores, aunque la compañía dijo que la divulgación no era calidad a cambio de una recompensa.
«Aunque apreciamos el informe de este investigador y agradecemos el tiempo que tomó compartirlo con nosotros, no calificó para una recompensa porque solo contenía un índice de motor de búsqueda con URL que los usuarios de WhatsApp eligieron hacer públicas», dijo un portavoz. «Todos los usuarios de WhatsApp, incluidas las empresas, pueden bloquear mensajes no deseados con solo tocar un botón».
Sin embargo, Jayaram cree que la compañía debería tomar la divulgación más en serio: “Hoy, su número de teléfono está vinculado a usted. Bitcoin carteras, Adhaar, cuentas bancarias, UPI, tarjetas de crédito …[allowing] un atacante intercambiando tarjetas SIM y clonando ataques es otra posibilidad ”, dijo.
La noticia de esta caída en la seguridad llega pocas semanas después de que los investigadores revelaran esto Los usuarios de WhatsApp han sido susceptibles a los ataques de navegación por el hombro Debido a la forma en que el servicio restaura cuentas en nuevos dispositivos, los piratas informáticos pueden comprometer a las personas utilizando solo su número de teléfono.