Recurso do WhatsApp indexou números de telefone em sistemas de buscas
A ferramenta Conversa em um clique, que permite criar links diretos para um telefone cadastrado na plataforma, indexou ao menos 263 mil contatos
Foi notícia nesta segunda (8) a descoberta do pesquisador de segurança Athul Jayaram de que a ferramenta “Conversa em um clique”, criada pelo WhatsApp para iniciar uma conversa com alguém cujo número de telefone não está salvo na sua lista de contatos, indexou mais de 263 mil números em ferramentas de busca como Bing e Google.
A estrutura criada pela empresa para comportar o link do “Conversa em um clique”era a URL https://wa.me/< númerodotelefone>. Como dentro do código HTML da página não estava presente a tag “no-index”, os números de telefone cadastrados nesse sistema acabaram sendo indexados pelas ferramentas de busca.
O resultado? Ao realizar uma busca mais segmentada na busca do Google, olhando apenas para as infos presentes no site wa.me, Jayaram encontrou mais de 263 mil contatos de diversos países. Confira abaixo o exemplo, com números dos EUA (DDI +1):
Ao buscar apenas a base de dados brasileira (que pode ser separada colocando o prefixo +55, que é código telefônico que identifica o nosso país) foram encontrados 5,5 mil contatos.
Menos perigo de golpes, porém menos privacidade também
Quando se pensa em ameaças web, a exposição desses contatos não se configuraria um vazamento a priori, já que todos os contatos tiveram que implementar essa função para, de certa forma, tornar o telefone público.
O problema, como explicou o próprio pesquisador em um paper publicado nesta terça (9) é que a indexação desse número fere as leis de privacidade já existentes, como a europeia GDPR, porque o usuário não é informado de que seu número pode ser indexado e nem tem autonomia para removê-lo da base de buscas das ferramentas.
A boa notícia é que o WhatsApp aplicou um pacote de correção e nenhum número buscado por wa.me ou api.whatspp pode ser visto dentro dos motores de pesquisa:
UPDATE: Whatsapp deployed a fix for https://t.co/zOfDhfHOiV domain and phone numbers are not searchable anymore. I am glad to know my research stands valid. I do not have any official confirmation from Facebook Security Team @fbsecurity yet. @WhatsApp pic.twitter.com/THulAktwrM
— Athul Jayaram (@athuljayaram) June 9, 2020
