Pouco tempo depois de descoberto por um pesquisador, WhatsApp corrigiu o problema que expunha os números de telefone de usuários no Google.
O Facebook entrou em uma expedição de quebra-toupeira corrigindo uma vulnerabilidade de segurança que expunha milhares de números de telefone de usuários do WhatsApp com uma pesquisa bastante simples no Google.
E o pesquisador indiano que encontrou essa brecha também está chorando por não poder receber uma recompensa por sua descoberta de bugs.
Em uma publicação do Medium em 6 de junho, Athul Jayarum publicou suas descobertas iniciais em alguns domínios indexados na pesquisa do Google: https://wa.me e https://api.whatsapp.com.
Os usuários podem gerar URLs – para usuários beta no momento, pode ser através de novos códigos QR de compartilhamento de perfil – nesses domínios que contêm seus números de telefone não criptografados como subdiretórios para compartilhar com os amigos – esses amigos podem clicar nele e imediatamente comece a conversar com o usuário no WhatsApp.
Além desse aspecto questionável, Javarum escreveu que o Facebook não fez a devida diligência para impedir que o Google indexasse as URLs, inserindo um arquivo robots.txt na raiz do servidor ou, pelo menos, incluindo metatags noindex nas páginas individuais.
Uma pesquisa no Google usando o site:function para api.whatsapp.com ou wa.me, juntamente com um código de país (formatado como +1 nos EUA ou +91 na Índia, por exemplo) gera um monte desses bate-papos diretos do WhatsApp portais.
Presumivelmente, deve haver pelo menos algumas entradas para praticamente todos os códigos de países existentes, portanto, embora cada país gere centenas de resultados, eles se acumulam em pouco tempo.
Jayaram conseguiu se conectar e conversar com uma amostra aleatória de usuários. Mas, como relatamos, os potenciais de abuso vão além disso.
WhatsApp corrigiu o problema que expunha os números de telefone de usuários no Google
Inicialmente, o Facebook retirou o wa.me dos índices antes de remover o api.whatsapp.com.
Jayaram entrou em contato com o Facebook para ver se a empresa ofereceria uma recompensa por encontrar um bug de abuso de dados no WhatsApp, mas ficou desapontado ao responder que não atenderia às exceções de suas políticas.
Com uma base de usuários de mais de 2 bilhões, o pesquisador argumenta que ele deveria ser recompensado por apontar um abismo tão flagrante.
- Como instalar o jogo Sonic 3: Angel Island Revisited no Linux via Flatpak
- Como instalar o jogo The Gates no Linux via Flatpak
- Como instalar o aplicativo educacional TuxMath no Linux
- Como instalar o relógio de xadrez Chess Clock no Linux via Flatpak