Google 搜索泄露了私人文档中 WhatsApp 电话号码
Facebook拥有的WhatsApp近年来已成为世界上最受欢迎的免费消息传递和VoIP应用程序之一。与用户绑定的内部电话号码具有一定程度的隐私保护;对于未登录平台并且也未与其他平台用户共享的用户来说,它们应该是不可见的,除非有人批准他们为联系人。不幸的是,数据泄露使任何人都可以通过Google搜索访问WhatsApp电话号码。
通过使用替代的缩短的URL搜索该服务,可以获取该平台上当前使用的300,000多个电话号码的列表。
通过Google搜索可见的WhatsApp电话号码
如果对站点[https://wa.me] 进行特定于站点的搜索并输入常用的拨号前缀,则Google搜索结果将以纯文本形式显示这些WhatsApp电话号码的不加区分的列表。
Wa.me是一个便捷域,主要用于与用户帐户的“单击以聊天”链接,平台用户可以使用该域与姓名未保存在其联系人列表中的其他用户发起聊天。企业通常将此功能连接到可扫描的QR码,以快速为潜在客户提供联系电话。安全研究员Athul Jayaram发现wa.me没有“ robots.txt”文件,该文件用于限制Google搜索蜘蛛可以索引的网站部分。api.whatsapp.com域也缺少“单击聊天”功能所使用的文件。
单击任何Google搜索结果不一定会提供有关WhatsApp用户身份的任何信息,但确实允许任何登录平台的人尝试与这些用户发起聊天。这可能会被用于垃圾邮件目的或威胁行为者一揽子尝试,如果WhatsApp用户接受这些呼叫或聊天请求,他们可能会无意中向另一方提供一些识别信息。尽管这些页面通常不包含个人识别信息,但发现其中有些包含用户个人资料图片。
Facebook拒绝了有关此问题的漏洞赏金报告,该公司声称,WhatsApp电话号码的所有者可以选择自动阻止来自未知方的联系尝试。但是,在Google搜索中显示的许多WhatsApp电话号码似乎都是标准的蜂窝电话或座机号码,垃圾邮件发送者和骗子可以直接拨打电话而无需使用该平台。
Jayaram说,他接触过的一些有关Google搜索结果的私营企业并不知道该平台将其WhatsApp电话号码视为“公开”的。有些人可能认为,由于必须亲自拜访一家企业才能获得其QR码,因此人们无法在Internet上查找它。
WhatsApp于6月8日发布了针对此问题的修复程序,该修复程序似乎还阻止了其他搜索引擎的索引编制。
WhatsApp数据泄露可能导致的后果
乍看起来,此泄漏似乎不是主要问题。尽管泄露了超过30万个WhatsApp电话号码,但看来其中许多已经是企业的公共联系电话。
但是,不可能确定每个违约方在搜索引擎索引方面的意图是什么。一些企业(或独立工作的专业人员)可能想要控制谁可以访问其WhatsApp电话号码;传达联系信息的QR码可以用作减少垃圾邮件的一种方式,因为它增加了许多垃圾邮件发件人将不愿采取的额外步骤,特别是如果必须访问实际位置或获得名片以获取该代码时。受损的个人不仅面临讨厌消息的烦恼,而且还面临SIM卡交换攻击的可能性,该攻击可能使威胁者能够访问与该电话号码绑定的其他在线帐户。
DataVisor首席执行官兼联合创始人谢英莲指出,通过Google搜索发现的信息也可能有助于身份盗用和企业电子邮件泄露计划中使用的整体业务和个人资料:“如果发生数据泄露和数据泄漏,不仅是数据暴露和随后的罚款是一个问题,也是对下游系统的攻击。例如,数据在暗网上出售,随后被欺诈者和犯罪集团用来创建综合身份,这些身份可用于欺诈性贷款申请,虚假用户帐户和帐户接管等活动。因此,不仅要确保信息安全,而且还要保护这些面向下游消费者的应用程序免受合成ID的攻击。”
目前尚不清楚WhatsApp是否可能因此次违规而面临罚款。如果不希望自己的WhatsApp电话号码被Google搜索索引和发现,则最有可能由单个企业提出投诉,这使得采取大规模行动的巨额罚款的可能性大大降低。WhatsApp已经在等待爱尔兰数据保护委员会的GDPR决定,该公司可能会受到严厉处罚,因为该公司正被调查与母公司Facebook共享客户数据的不当行为。
