Исследователь в области инфобезопасности Атул Джаярам обнаружил, что телефонные номера пользователей WhatsApp можно обнаружить в поисковой системе Google, если сделать поиск по домену wa.me.
Этот домен принадлежит WhatsApp, и на нем работает сервис коротких ссылок, которые позволяют начать чат с человеком, которого еще нет в списке контактов.
Джаярам утверждает, что из-за проблемы конфиденциальности в Сеть просочились до 300 тысяч номеров пользователей WhatsApp в открытом виде, пострадали пользователи из США, Великобритании, Индии и многих других стран. По его словам, на wa.me отсутствует файл robots.txt, в котором можно прописать запрет на поисковую индексацию.
Причиной происходящего, по мнению специалиста, стала появившаяся недавно в мессенджере функция добавления людей в список контактов по QR-коду: человек вывести на экран код, который отсканирует собеседник и сможет начать переписку. В коде содержится ссылка на wa.me, и в этой ссылке не шифруется телефонный номер.
"Например, вы делитесь ссылкой с другом в твиттере, чтобы он связался с вами в WhatsApp. Номер вашего мобильного отображается в текстовом виде в этом URL-адресе, и любой, ко его увидит, сможет узнать ваш номер. Даже если вы удалите его, бот Google просканирует адрес, и ссылка останется в Сети - это связано с тем, что wa.me не имеет файла robots.txt в корневой папке сервера и не может помешать поисковым роботам ссылки на wa.me. На страницах отсутствуют теги noindex, которые запрещают поисковикам индексировать ссылки", - уверен Джаярам.
По его мнению, на обладателя номера может обрушиться шквал звонков и сообщений от неизвестных людей: мошенников, киберпреступников, маркетологов.
Отметим, что в настоящее время поиск по сайту wa.me не работает. Одно временно с этим сотрудники издания Bleeping Computer и вовсе не считают проблему проблемой. Они создали в качестве теста поддельную ссылку wa.me/11111, которая перенаправила браузер на адрес api.whatsapp.com/send?phone=11111. На этой странице предлагается начать чат с номером "11111", хотя в реальности такого номера не существует. Таким образом, спамеры и другие злоумышленники не смогут использовать данную функцию для поиска реально существующих номеров WhatsApp.
В интернете размещаются целые каталоги реальных телефонных номеров, привязанных к WhatsApp и нет. Эта практика существовала на протяжении десятилетий. Публикация в Сети телефонного номера не выдает личную информацию или пароли", - подчеркивают в Bleeping Computer.