O Google suspendeu desde ontem, a pedido do WhatsApp, a indexação dos números de telefone que apareciam no recurso “click to chat” publicados por usuários do WhatsApp: uma simples consulta como “site: wa.me” retornava uma lista com milhares de links para os telefones de usuários do que haviam habilitado o recurso. A descoberta desse problema de privacidade foi de Athul Jayaram, pesquisador independente de segurança cibernética da Índia, que só em seu país localizou 29 mil telefones de usuários. Ele é ex-funcionário de uma das quatro grandes consultorias globais e atualmente um caçador de ‘bug bounties’, classificado entre os 125 melhores no Bugcrowd e no Hackerone.
A ferramenta Click to Chat permite que qualquer pessoa inicie uma conversa com alguém sem precisar primeiro salvar seu número no telefone numa lista de contatos. Em vez disso, os usuários podem simplesmente anexar o número a um endereço da web pré-formatado e clicar nele para começar a conversar com o destinatário no WhatsApp.
O recurso foi empregado principalmente por empresas, pois isso tornava possível colocar o link com o telefone para atendimento público em seu site – permitir assim que visitantes e clientes acessassem facilmente o canal de suporte do WhatsApp sem passar pelo incômodo de salvar o número em suas agendas telefônicas.
Veja isso
Hackers usam brecha no WhatsApp para atacar dispositivos móveis
WhatsApp confirma que spyware monitora celulares globalmente
Jayaram disse em seu blog que conseguiu enviar mensagens a vários estranhos cujos números do WhatsApp ele conseguiu capturar na pesquisa do wa.me. A listagem do Google não revelava outras informações pessoais, como o status do usuário. No entanto, Jayaram pôde visualizar as fotos e os nomes de pessoas que não tornaram seus dados privados por meio das opções de segurança. Ao anexar o código do país no final da pesquisa, Jayaram disse que também se pode restringir os resultados a uma região específica, o que pode ser útil para spammers e criminosos cibernéticos.
O pesquisador relatou o vazamento para o Facebook através dos programas Bug Bounty da empresa de mídia social. No entanto, o WhatsApp comunicou que esse achado não estava qualificado para receber uma recompensa, uma vez que apenas continha um índice de URLs que os usuários do WhatsApp optaram por tornar público.
Houve outro problema semelhante com o WhatsApp em fevereiro deste ano, quando um relatório informou que qualquer pessoa podia localizar links de grupos privados – que eram compartilhados ou publicados em um canal público – no Google e acessar sua lista de números de telefone e participantes, juntando-se a eles sem verificação.