Телефоны пользователей WhatsApp попадают в поисковую выдачу Google

    imageФото: medium.com

    Независимый исследователь в области безопасности из Индии обнаружил, что ряд телефонных номеров, привязанных к аккаунтам WhatsApp, находится в открытом доступе, так как их индексирует поисковой движок Google. Исследователь подсчитал, что через поисковик можно найти от 29 до 300 тысяч номеров.

    Проблема, по словам исследователя, затрагивает пользователей из США, Великобритании, Индии и других стран. По его мнению, утечка вызвана внедрением функции «Click to Chat». Благодаря ей можно добавить пользователя в свой список контактов, отсканировав QR-код. Каждой учетной записи предоставляется уникальный QR-код, который при декодировании показывает URL-адрес на wa.me

    Whatsapp использует chat.whatsapp.com для создания ссылок на групповые приглашения, а API-интерфейс отправки сообщений Whatsapp Web использует api.whatsapp.com и перенаправляет запрос на web.whatsapp.com.

    В функции чата телефонный номер в ссылке не шифруется, поэтому, если эта ссылка используется в открытом доступе, то и номер также отображается в виде открытого текста.

    Например, если один пользователь делится этой ссылкой с другим в Twitter, чтобы связаться в Whatsapp, то номер приглашенного отобразится в текстовом виде в URL-адресе. Даже после удаления сообщения ссылка останется в сети, так как бот Google отсканировал URL (https://wa.me/<телефонный_номер>). Таким образом, мошенники и хакеры могут получить полную информацию о профиле человека, если он не защищен настройками приватности.

    Специалист указывает на то, что wa.me не имеет файла robots.txt в корне своего сервера, а на страницах отсутствуют мета-теги noindex, которые не позволяют поисковым системам индексировать ссылки.

    В Facebook не увидели проблемы в индексации номеров. Там отметили, что в сеть попадают только те данные, которые пользователи делают общедоступными. Между тем сама соцсеть удалила функцию поиска пользователей по их телефонным номерам год назад из-за проблем конфиденциальности и утечек номеров.


    Представители Threatpost связались с отдельными пользователями, чьи номера были доступны в интернете. Некоторые из них были в курсе того, что их данные попадают в сеть и даже использовали это для продвижения своего бизнеса. Однако многие даже не догадывались об утечке:

    imageФото: medium.com

    Специалист посоветовал тем пользователям, которые нашли свои номера в сети, либо удалить учетную запись в WhatsApp, либо изменить номер мобильного.

    Как отметил ИБ-исследователь, мобильные номера могут быть получены с помощью простого поискового запроса Google www.google.com/search?q=site:wa.me. Чтобы найти номера конкретной страны, скажем, США, нужно добавить код этой страны:

    www.google.com/search?q=site%3Awa.me+%22%2B1%22
    сайт: wa.me «+1».

    imageФото: medium.com

    Аналогичным образом номера пользователей любой страны можно найти с помощью поисковика Google по запросу: wa.me «<код страны>».

    Ранее в WhatsApp ограничили отправку часто пересылаемых сообщений только одним человеком или группой. Мера была связана с распространение фейков о коронавирусе. Впоследствии команда мессенджера заявила, что это ограничение снизило число «вирусных» сообщений на 70% менее чем за месяц.
    См. также:

    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 12

      +2
      Сам по себе номер бесполезен, можно и так проверить что он привязан или нет к ватсапу.
      Вот если там связь номера с закрытой информацией есть то это уже проблема, но я этого в тексте не нашел.
        +3
        У меня не работает ссылка и поиск.
          +1
          Ну никогда не было у вотсаппа проблем с безопасностью, и вот опять…
            +2
            По запросу site:wa.me "+1" ничего не найдено.


            Вообще we.me/robots.txt отдает 404
              +1
              ок, но судя по всему возможность узнать номер телефона уже закрыли.
                0
                Примерно в ту же тему
                2019/04/08
                ru.bellingcat.com/materialy/putevoditeli/2019/04/17/telephone-contact-apps
                А также m.habr.com/ru/company/postuf/blog/479094
                и др. статьи в том же блоге.
                  +5

                  Когда я увидел оригинальную статью, мне стало крайне интересно, найдутся ли те, кто поверит в серьезность проблемы и переведёт ее. В итоге это случилось.


                  Well, the impact may be unknown people messaging you. Maybe they are marketing executives, cybercriminals, fraudsters targeting you. Depending on your Whatsapp privacy settings if the privacy settings are set to the public they may be already having your profile picture, name, profile status. As they have your mobile number, they may do SMS, Calls. The best way to avoid the situation maybe to delete your Whatsapp account or change your mobile number.

                  Ох, незнакомые люди могут отправить вам сообщение. Если у кого-то есть мой номер телефона, он может позвонить или написать СМС. Офигеть, я не знал этого, крайне страшно. А если вы сделали профиль публичным, то они могут увидеть имя, аватарку и статус. Вот это утечка конфиденциальной информации. Лучший способ решения проблемы — удалить аккаунт или сменить номер? Может, если утекла фотография, надо нос отрезать, чтобы лицо изменить?


                  Вообще, у меня горит даже не из-за того, что какую-то откровенно слабую "утечку" смакуют так, словно это беда вселенского масштаба, а из-за того, что распиаренный индиец с "уязвимостью" такого уровня попадает в Форбс и кучу новостных изданий, показывая нынешний уровень инфобеза. Чем больше подобного будет в новостях, тем менее серьёзно люди будут воспринимать проблемы с безопасностью.

                    0
                    показывая нынешний уровень инфобеза

                    Согласен с комментом, только не нынешний уровень инфобеза, а уровень здравого смысла.
                    Волны истерий катаются по шарику по самым разным поводам.
                      +1
                      Имхо тут более универсальная проблема ссылок и прочих кодов, раскрывающих персональную информацию неочевидным образом.
                        0

                        Вообще, огромный склад персональной информации можно найти в сокращателях ссылок. Хотите, чтобы куча компаний и людей попала на гигантские штрафы за нарушения NDA? Просто откройте пару популярных сокращателей и напишите скрипт, который будет перебирать ссылки.

                      0
                      Пытался проверить самостоятельно, у меня не работает поиск
                        0
                        До сих пор индексирует, похоже

                        image

                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                        Самое читаемое