ИБ-специалист Атул Джаярам в своем блоге рассказал о том, что поисковая система Google индексирует номера телефонов, которые принадлежат пользователям мессенджера WhatsApp. Эксперт отметил, что подобное недопустимо, потому что речь идет об утечке конфиденциальных данных, которые могут в дальнейшем использоваться киберпреступниками в злонамеренных целях.
Внимание господина Джаярама привлек домен wa.me, который принадлежит WhatsApp. Он применяется мессенджером для размещения ссылок «click to chat», с помощью которых пользователи могут начать чат с новым собеседником, не сохраняя его номер в контактах своего устройства.
Атул Джаярам отмечает, что в доменах wa.me и api.whatsapp.com нет файла robots.txt, в котором бы можно было прописать запрет на сканирование размещенных на сайте телефонных номеров. Именно поэтому Google и другие поисковики сканируют все ссылки, которые начинаются с https://wa.me/..., после чего публикуют результаты в результатах поиска.
В Threatpost Атул Джаярам опубликовал следующее сообщение: «Проиндексированные телефонные номера киберпреступники могут использовать для отправки сообщений, совершения звонков, продажи спамерам, маркетологам и другим заинтересованным лицам».
Если нажать на ссылке в поисковой выдаче Google, то пользователь будет автоматически перенаправлен на страницу api.whatsapp.com, с помощью которой можно «продолжить чат» с конкретным пользователем мессенджера WhatsApp.
Специалисты BleepingComputer провели эксперимент. Они создали поддельную ссылку http://wa.me/11111, после чего их перенаправило на страницу api.whatsapp.com/send?phone=11111. Система думает, что «11111» реальный контакт WhatsApp, хотя он таковым не является. Поэтому киберпреступники даже после копирования всех найденных номеров вряд ли смогут продуктивно использовать обнаруженную утечку.
Именно поэтому в Facebook не стали признавать найденную проблему серьезной, поэтому отказали Атулу Джаяраму в получении вознаграждения, что обычно предусмотрено на нахождение уязвимостей.
