Há alguns dias, o pesquisador de segurança Athul Jayaram descobriu que o Google estava indexando números privados de WhatsApp. A exposição ocorreu por meio do recurso chamado "conversa em um clique", que permite criar um link para que qualquer pessoa que faça clique na opção possa iniciar uma conversa sem a necessidade de ter o número agendado. No entanto, esses dados foram indexados pelo Google e se tornaram visíveis nos resultados de pesquisa. Embora Jayaram considere que se trata de uma falha de segurança que afeta a privacidade dos usuários, o Facebook, dono do WhatsApp, garante que não é uma falha e que os mecanismos de pesquisa do Google apenas apresentam informações autorizadas pelos usuários.
Leitura relacionada: Cibercriminosos podem invadir contas de WhatsApp apenas com o número de telefone das vítimas?
Anteriormente, os domínios do Facebook "wa.me" e "api.whatsapp.com" publicavam os números de celular nos resultados de pesquisa no Google, mas depois de um tempo essa informação passou a estar visível apenas no "api.whatsapp". Por isso, é possível ver os números que os mecanismos de busca estão indexando através do seguinte filtro de pesquisa: "site:https://api.whatsapp.com/".
Exemplos de números de celular associados a contas de WhatsApp que aparecem nos resultados de pesquisa do Google.
Embora o nome da pessoa associada a conta não seja revelado, a imagem do perfil da conta pode ser vista caso o usuário tenha configurado a imagem de forma pública.
Por meio do recurso "conversa em um clique", qualquer pessoa que clique em um desses resultados pode iniciar uma conversa através do chat sem que seja necessário ter o número agendado e, eventualmente, ver a foto de perfil.
Assim como Jayaram disse ao site ThreatPost, o WhatsApp deveria ter adicionado um arquivo robot.txt para esses domínios e, dessa forma, ter impedido que esses dados fossem indexados por mecanismos de busca como o Google. Além disso, o pesquisador argumenta que essas informações podem ser usadas para configurar bancos de dados com números legítimos e/ou enviar spam ou até mesmo distribuir campanhas falsas. Por outro lado, o pesquisador também comentou que, se alguém pesquisar por imagens usando a foto do perfil público, poderá encontrar mais informações sobre o dono da conta, estabelecendo até mesmo a identidade do usuário caso encontre a mesma imagem em outra rede social.
Segundo destacou um porta-voz do WhatsApp ao site ThreatPost, o recurso “conversa em um clique” é bastante usado por pequenas empresas em todo o mundo para oferecer um canal de comunicação direta com os clientes. Além disso, ele também destacou que os usuários e as empresas contam com a opção de bloquear mensagens indesejadas pressionando apenas um botão.
O site ThreatPost contatou os usuários por trás de algumas contas vinculadas aos números que apareceram no buscador e vários disseram estar cientes e até afirmaram que tinham feito isso de propósito como uma forma de promover suas empresas. No entanto, alguns desses usuários não sabiam que seus números estavam sendo expostos dessa forma.
Para o pesquisador de segurança da ESET, Luis Lubeck, “provavelmente o que o Google indexa são informações que estão presentes no chatbot de alguma página, o que significa que são informações que os donos das contas estão compartilhando de forma pública. No entanto, o pesquisador concorda que a exposição de números de celular indexados (no momento da pesquisa havia mais de cem mil números) pelo Google representa uma grande oportunidade para que cibercriminosos coletem esses números.
No momento da publicação deste post, os números de celular já não aparecem mais nos resultados de pesquisa do Google.
