Należący do Facebooka komunikator boryka się obecnie z poważnymi problemami z prywatnością. Tysiące linków do prywatnych grup WhatsApp nadal można łatwo znaleźć w sieci.
Dostęp do setek tysięcy prywatnych grup w komunikatorze został udostępniony w sieci. Tym razem jednak nie mamy tu do czynienia z wyrafinowanym atakiem hakerskim, a błędem konfiguracji aplikacji. Aby dołączyć do prywatnej grupy utworzonej na popularnym komunikatorze, do tej pory należało skorzystać z linku udostępnionego przez jej administratora. Zazwyczaj w takich przypadkach, link powinien wygasać po skorzystaniu z niego. Tak się jednak nie stało. Dziennikarz DW.com Jordan Wilson odkrył, że wspomniane łącza były indeksowane przez wyszukiwarki takie jak Google, DuckDuckGo i Bing.
Your WhatsApp groups may not be as secure as you think they are.
The "Invite to Group via Link" feature allows groups to be indexed by Google and they are generally available across the internet. With some wildcard search terms you can easily find some… interesting… groups. pic.twitter.com/hbDlyN6g3q
— Jordan Wildon (@JordanWildon) February 21, 2020
Oznacza to, że treści rozmów oraz numery telefonów uczestników każdej z grup były dostępne dla każdego, kto korzysta z wyszukiwarki. Problem mógł dotyczyć nawet 470 tysięcy prywatnych grup.
A misconfiguration by WhatsApp enabled ~470k Group Invite links to be indexed by search engines
It should’ve been `Disallow`ed with robots.txt or with the `noindex` meta tag
thanks @JordanWildon for the tip https://t.co/CJxjJ5qyfh pic.twitter.com/FrW1I9Y8vs
— Jane Manchun Wong (@wongmjane) February 21, 2020
Najbardziej zaskakująca w całej sytuacji wydaje się jednak reakcja WhatsAppa. Przedstawiciele aplikacji przyznali, że problem jest im znany, a winą za niego obarczyli… samych użytkowników. Ich zdaniem, nie powinni oni umieszczać linków zapraszających do grupy na stronach objętych indeksowaniem Google. Dopiero ostra reakcja użytkowników w mediach społecznościowych skłoniła firmę do przyznania się do błędu i zajęcia się sprawą.
60 000 grup wciąż zagrożonych
Mimo, że spora część linków faktycznie została usunięta z wyników wyszukiwania, dziś, niemal tydzień po tych wydarzeniach, 60 000 grup wciąż wystawionych jest na niebezpieczeństwo.
Jak podaje DW.com, spośród 1000 losowo wybranych linków, które wciąż znajdują się w sieci, 427 wciąż było aktywnych. Nawet bez aktywnego przystąpienia do grupy, można było za ich pomocą otrzymać dostęp do numerów telefonów użytkowników. Dodanie ich do swojej listy kontaktów z kolei ujawniało kolejne dane personalne, takie jak imię czy nazwisko.
Test nakreślił także realną skalę zagrożenia. Wspomniane 427 linków, pozwoliło DW.com uzyskać dostęp m.in. do grupy określanej jako „urzędnicy Ministerstwa Finansów” w Indonezji, ujawniając przy tym numery telefonów wszystkich 14 członków. Kilka innych grup okazało się być oficjalnymi grupami wsparcia dla kampanii prezydenta Brazylii Jaira Bolsonaro. Wśród pozostałych grup znalazły się także społeczności uczniowskie, grupy polityczne, związane z biznesem, a także… pornografią czy usługami seksualnymi. Informacje znalezione na czacie mogły z łatwością zostać użyte przeciw jego uczestnikom.
Miejmy nadzieję, że reakcja twórców aplikacji na tym się nie skończy. Równie ważne jak usunięcie reszty linków z SERPu (a być może jeszcze ważniejsze) wydaje się w tym momencie poprawa całego systemu dodawania użytkowników do grup. Niezależnie jednak od działań Facebooka w tej kwestii, warto abyśmy sami pamiętali o zachowaniu ostrożności.