Os usuários do recurso Click to Chat do WhatsApp podem ver seus números de telefone pessoais expostos por meio de resultados de pesquisa públicos do Google, de acordo com uma nova descoberta feita por um pesquisador de segurança.
O Click to Chat é um recurso do WhatsApp menos conhecido que permite que os visitantes conversem com os operadores do site por meio do serviço de mensagens. Por exemplo, se um visitante de um site de comércio eletrônico tivesse uma consulta sobre uma listagem, ele poderia digitalizar um código QR para ser inserido em uma conversa do WhatsApp com o serviço de ajuda relevante.
No entanto, segundo o pesquisador e caçador de recompensas Athul Jayaram, a utilização desse recurso pode direcionar o número de telefone de um usuário nos resultados de pesquisa pública, abrindo a porta para todos os tipos de golpes e ataques cibernéticos.
Privacidade de dados do WhatsApp Click to Chat
Plataforma de mensagens O WhatsApp é conhecido por seus altos padrões de privacidade de dados, oferecendo criptografia de ponta a ponta a todos os usuários. No entanto, essa descoberta mais recente sugere que os dados pessoais podem não ser tão particulares quanto os usuários gostariam de pensar.
Os números dos usuários estão sendo expostos pelo domínio “wa.me”, de propriedade do WhatsApp, que armazena os metadados Click to Chat em uma string de URL (por exemplo, number>). Como não há nenhuma medida para impedir que os mecanismos de pesquisa indexem esses metadados, os números são efetivamente vazados nos resultados de pesquisa pública.
“Seu número de celular está visível em texto simples neste URL, e qualquer pessoa que se apossar dele pode saber seu número de celular. Você não pode revogar”, explicou Jayaram.
“À medida que os números de telefone individuais vazam, um invasor pode enviá-los por mensagem, ligar para eles, vender seus números de telefone para profissionais de marketing, spammers e golpistas”.
Vasculhando o domínio por meio de pesquisas no Google, Jayaram descobriu 300.000 números do WhatsApp tornados públicos por esse mecanismo. Clicar na página da Web não descobre o nome completo do usuário, mas revela a foto do perfil do WhatsApp.
Depois de fazer a descoberta em 23 de maio, Jayaram posteriormente relatou o problema ao dono do WhatsApp, Facebook, através de seu esquema de recompensa por bugs.
“Apesar de apreciarmos o relatório deste pesquisador e valorizarmos o tempo que ele levou para compartilhá-lo conosco, ele não se qualificou para receber uma recompensa, pois apenas continha um índice de URLs que os usuários do WhatsApp optaram por tornar público”, disse um porta-voz do WhatsApp.
“Todos os usuários do WhatsApp, incluindo empresas, podem bloquear mensagens indesejadas com o toque de um botão.”
Jayaram, no entanto, acredita que a empresa deve levar a divulgação mais a sério, devido ao escopo dos ataques que a questão poderia facilitar.
“Hoje, seu número de celular está vinculado a suas carteiras Bitcoin, Adhaar, contas bancárias, UPI, cartões de crédito … [permitir] que um invasor realize ataques de troca e clonagem de cartão SIM é outra possibilidade”, disse ele.
Saiba mais sobre isso em nosso setor especializado em segurança digital.
