Дані користувачів WhatsApp витекли в пошуковик Google
Відомий експерт в галузі інформаційної безпеки Атхул Джаярам виявив проблему в популярному месенджері WhatsApp. Сервіс використовує коротке посилання «wa.me/<номер телефону>», щоб користувачі могли додавати контакт одним кліком, і тепер через цю функцію номера телефонів опинилися у відкритому доступі в пошуковику Google.
За словами дослідника, керівництво WhatsApp знає про уразливість, але вони не вважають її проблемою взагалі. Це пов’язано з функцією QR-коду WhatsApp, запущеною раніше цього року.
Під час спілкування за допомогою Click to Chat (запуск листування по QR-коду з людиною, номера якої немає в адресній книзі) дані абонента, якому хочуть зателефонувати, і в деяких випадках діалоги, кешуються в пошуковику і можуть бути прочитані за допомогою додавання номера або його префікса до домену wa.me в адресному рядку браузера.
Зараз в пошуку відображається близько 300 тисяч результатів. Переважна більшість цих посилань включає номери телефонів, пов’язані з WhatsApp, у вигляді простого тексту.
Небезпека полягає в тому, що зловмисники можуть зібрати з пошуку базу даних користувачів, адже у багатьох до аккаунту прив’язане реальне ім’я і фотографії. У кращому випадку ці номери будуть використовуватися для спаму, але користувачі також можуть постраждати від цільових атак для злому, фішину тощо.
Відзначимо, уразливість не стосується збережених в пам’яті пристрою контактів.