Numeri Utenti finiti su Google
Nuovi problemi di privacy per WhatsApp: il ricercatore informatico Athul Jayaram ha scoperto che su Google sono presenti oltre 300.000 numeri di telefono degli utenti a causa di WhatsApp. A febbraio, la nota app di messaggistica aveva corretto una situazione simile, che consentiva a chiunque di trovare su Google i link per entrare a far parte di un gruppo. Il problema, ancora una volta, è quindi rappresentato dall’indicizzazione dei contenuti di Google.
Dopo aver condotto alcuni test, utilizzando specifiche stringhe di ricerca, Jayaram ha individuato sul web i numeri di telefono di numerose persone. La causa è da ricercare nella funzione Click to Chat, uno strumento utilizzato su diversi siti per consentire una comunicazione diretta su WhatsApp tra l’azienda e l’utente. Una qualsiasi attività, aggiungendo al proprio portale online, l’icona di WhatsApp o un codice Qr, offre, infatti, ai clienti la possibilità di entrare velocemente in contatto, utilizzando l’app di messaggistica.
Quando ciò avviene, i metadati della funzione Click to Chat, però, vengono indicizzati dal motore di ricerca e al loro interno è compreso anche il numero di telefono. Nello specifico, l’url incriminata è questa: https://wa.me/numeroditelefono. Ogni contatto di WhatsApp, infatti, ha un suo link personale e se al posto della scritta «numeroditelefono» si inserisse un vero numero, comprensivo di prefisso, sarebbe possibile comunicare anche con una persona di cui non abbiamo registrato il contatto.
I problemi di privacy sono evidenti: una volta ottenuti i contatti telefonici, il rischio concreto è la ricezione continua di email spam o di tentativi di phishing. Non solo, un hacker, che fosse in grado di individuare questi numeri, avrebbe anche accesso alle diverse immagini profilo delle vittime su WhatsApp. Con una ricerca inversa, potrebbe scoprire se quelle foto sono utilizzate sui social media, scoprendo di conseguenza anche il nome e il cognome delle persone, a cui potrebbe essere sottratta l’identità.
Nonostante il ricercatore abbia avvisato di questo problema sia WhatsApp sia Facebook, attraverso i relativi bug bounty program, non ha ricevuto alcuna ricompensa. Secondo WhatsApp, Athul Jayaram avrebbe semplicemente fornito gli url di persone che utilizzano il servizio, sapendo che i rispettivi contatti sarebbero diventati pubblici. Dunque, al momento, non è chiaro come e se interverrà la nota app, poiché quanto segnalato dal ricercatore non è considerato un errore.