Pokud používáte WhatsApp, zpozorněte. Vaše telefonní číslo se totiž mohlo objevit ve výsledcích vyhledávání na Googlu, a pokud to učinil někdo „šikovný“, mohl si vytvořit slušnou databázi telefonních čísel (i těch českých). A ta se dá zneužít různými způsoby, např. je přeprodat telemarketingovým službám či různým podvodníkům. Za vše můžete poděkovat funkci Click to Chat, která umožňuje firmám nebo jednotlivcům zaslat QR kód s odkazem, přes něhož mohli uživatelé přes WhatsApp posílat přímé zprávy.
Jenže, do samotných odkazů se dostala i nezašifrovaný řetězec čísla, který je k danému kontaktnímu údaji přiřazeno. A všeteční vyhledávací roboti od Googlu všechny tyto žádosti pečlivě zaindexovali. Pokud jste do Googlu ještě před pár hodinami zadali do vyhledávače: site:wa.me "+420", vyskočilo vám ve výsledcích několik desítek českých telefonních čísel (nebojte, ukazovat je v článku rozhodně nebudeme). Pokud jste změnili mezinárodní předvolbu, mohli jste získat telefonní čísla doslova z celého světa. Celkem šlo v rámci tohoto úniku vyhledat až 400 tisíc telefonních čísel!
Na problém jako první upozornil soukromý bezpečnostní inženýr Athul Jayaram, čehož si všimly i různé zahraniční weby, které upoutaly pozornost Googlu a také WhatsAppu. Jayaram chtěl za zjištění bezpečnostní chyby od WhatsAppu finanční odměnu, Facebook, který aplikaci vlastní, však reagoval negativně. Řešení totiž ukazovalo jen ta čísla, která se uživatelé rozhodli zveřejnit. Ovšem asi v jiném ohledu, než ve veřejně dostupném vyhledávání á-la Zlaté stránky na Googlu...
Největší chybou bylo uložení čísel v plaintextu, tedy v běžné čitelné podobě. Druhou chybou byla indexace všech výsledků z domén wa.me a api.whatsapp.com, do kterých stačilo přidat jen obyčejný soubor robot.txt, který by zamezil jejich indexaci. V půlnoci z neděle na pondělí WhatsApp do domén skutečně soubor robot.txt dohrál, takže z Googlu zmizelo zhruba 400 tisíc volně čitelných telefonních čísel. Už tak nijak neovlivníte, zda to vaše někdo nezískal, každopádně nově se k němu už veřejně nikdo nedostane.
WhatsApp používá každý den 1 miliarda lidí na celém světě, a je až s podivem, jak často se v aplikaci objevují bezpečnostní díry. Naposledy v únoru bylo možné vyhledat soukromé konverzace, zjistit z nich telefonní čísla účastníků a také to, o čem se všichni zúčastnění baví. Spusta zjištěných konverzací se navíc týkala diskusí o nelegálním šíření obsahu pro dospělé. WhatsApp se evidentně nepoučil, v únoru totiž stačilo jen ve vyhledávači od Googlu vyhledat slovní spojení chat.whatsapp.com, a to nám něco připomíná...
Zdroj Athul, Tomsguide