Google 搜索泄露了私人文檔中 WhatsApp 電話號碼
Facebook擁有的WhatsApp近年來已成為世界上最受歡迎的免費消息傳遞和VoIP應用程序之一。與用戶綁定的內部電話號碼具有一定程度的隱私保護;對于未登錄平臺并且也未與其他平臺用戶共享的用戶來說,它們應該是不可見的,除非有人批準他們為聯系人。不幸的是,數據泄露使任何人都可以通過Google搜索訪問WhatsApp電話號碼。
通過使用替代的縮短的URL搜索該服務,可以獲取該平臺上當前使用的300,000多個電話號碼的列表。
通過Google搜索可見的WhatsApp電話號碼
如果對站點[https://wa.me] 進行特定于站點的搜索并輸入常用的撥號前綴,則Google搜索結果將以純文本形式顯示這些WhatsApp電話號碼的不加區分的列表。
Wa.me是一個便捷域,主要用于與用戶帳戶的“單擊以聊天”鏈接,平臺用戶可以使用該域與姓名未保存在其聯系人列表中的其他用戶發起聊天。企業通常將此功能連接到可掃描的QR碼,以快速為潛在客戶提供聯系電話。安全研究員Athul Jayaram發現wa.me沒有“ robots.txt”文件,該文件用于限制Google搜索蜘蛛可以索引的網站部分。api.whatsapp.com域也缺少“單擊聊天”功能所使用的文件。
單擊任何Google搜索結果不一定會提供有關WhatsApp用戶身份的任何信息,但確實允許任何登錄平臺的人嘗試與這些用戶發起聊天。這可能會被用于垃圾郵件目的或威脅行為者一攬子嘗試,如果WhatsApp用戶接受這些呼叫或聊天請求,他們可能會無意中向另一方提供一些識別信息。盡管這些頁面通常不包含個人識別信息,但發現其中有些包含用戶個人資料圖片。
Facebook拒絕了有關此問題的漏洞賞金報告,該公司聲稱,WhatsApp電話號碼的所有者可以選擇自動阻止來自未知方的聯系嘗試。但是,在Google搜索中顯示的許多WhatsApp電話號碼似乎都是標準的蜂窩電話或座機號碼,垃圾郵件發送者和騙子可以直接撥打電話而無需使用該平臺。
Jayaram說,他接觸過的一些有關Google搜索結果的私營企業并不知道該平臺將其WhatsApp電話號碼視為“公開”的。有些人可能認為,由于必須親自拜訪一家企業才能獲得其QR碼,因此人們無法在Internet上查找它。
WhatsApp于6月8日發布了針對此問題的修復程序,該修復程序似乎還阻止了其他搜索引擎的索引編制。
WhatsApp數據泄露可能導致的后果
乍看起來,此泄漏似乎不是主要問題。盡管泄露了超過30萬個WhatsApp電話號碼,但看來其中許多已經是企業的公共聯系電話。
但是,不可能確定每個違約方在搜索引擎索引方面的意圖是什么。一些企業(或獨立工作的專業人員)可能想要控制誰可以訪問其WhatsApp電話號碼;傳達聯系信息的QR碼可以用作減少垃圾郵件的一種方式,因為它增加了許多垃圾郵件發件人將不愿采取的額外步驟,特別是如果必須訪問實際位置或獲得名片以獲取該代碼時。受損的個人不僅面臨討厭消息的煩惱,而且還面臨SIM卡交換攻擊的可能性,該攻擊可能使威脅者能夠訪問與該電話號碼綁定的其他在線帳戶。
DataVisor首席執行官兼聯合創始人謝英蓮指出,通過Google搜索發現的信息也可能有助于身份盜用和企業電子郵件泄露計劃中使用的整體業務和個人資料:“如果發生數據泄露和數據泄漏,不僅是數據暴露和隨后的罰款是一個問題,也是對下游系統的攻擊。例如,數據在暗網上出售,隨后被欺詐者和犯罪集團用來創建綜合身份,這些身份可用于欺詐性貸款申請,虛假用戶帳戶和帳戶接管等活動。因此,不僅要確保信息安全,而且還要保護這些面向下游消費者的應用程序免受合成ID的攻擊。”
目前尚不清楚WhatsApp是否可能因此次違規而面臨罰款。如果不希望自己的WhatsApp電話號碼被Google搜索索引和發現,則最有可能由單個企業提出投訴,這使得采取大規模行動的巨額罰款的可能性大大降低。WhatsApp已經在等待愛爾蘭數據保護委員會的GDPR決定,該公司可能會受到嚴厲處罰,因為該公司正被調查與母公司Facebook共享客戶數據的不當行為。
