Популярный мессенджер «слил» номера своих пользователей в сеть

В сети появилась информация о серьёзной недоработке в системе безопасности известного на весь мир мессенджера. Сообщается, что «WhatsApp» показывает номера своих пользователей по запросу через Google Поиск. Как стало известно, проблему обнаружил исследователь безопасности Атул Джаярам, который поделился результатами на своей странице в «Medium».

Оказывается, в достаточно распространенной функции Click to Chat присутствует недостаток, который даёт возможность любому человеку узнать чужой номер телефона. Напомним, что суть функции Click to Chat заключается в том, что пользователь дает доступ, не предоставляя собственный номер телефона - вместо него создается QR-код.

Во время изучения компьютерного кода эксперту удалось выяснить, что «WhatsApp» всё же предоставляет доступ к номерам телефонов пользователей, однако делает это крайне изощренным способом через Google Поиск. Таким образом, длительное время любой пользователь имел возможность начать поиск номера на домене wa.me, где и хранятся все номера телефонов пользователей функции Click to Chat, чтобы получить желаемое. Пример подобного поискового запроса приведен ниже:

Во время поиска мобильный номер виден в виде простого текста в этом URL, и любой человек, получивший этот код, узнает номер мобильного телефона. Специалист указывает на то, что wa.me не имела файла robots.txt в корне своего сервера, а на страницах отсутствовали мета-теги noindex, которые не позволяют поисковым системам индексировать ссылки.

В свою очередь сама команда разработчиков «WhatsApp» не считает подобное пробелом, заявив, что они лишь индексируют информацию, которую сами пользователи согласились сделать открытой. Однако сегодня, 9 июня, wa.me была удалена разработчиками.