Takto vypadalo jednodnuché vyhledání telefonních čísel z databáze WhatsAppu. Pro česká čísla stačilo místo +91 použít předvolbu +420  Athul Jayaram

Takto vypadalo jednodnuché vyhledání telefonních čísel z databáze WhatsAppu. Pro česká čísla stačilo místo +91 použít předvolbu +420 | Athul Jayaram

Analogicky to vypadalo u americké předvolby +1 a krajské předvolby +213  Tomsguide

Analogicky to vypadalo u americké předvolby +1 a krajské předvolby +213 | Tomsguide

Nejprve došlo k opravě výsledků z webu wa.me, následně musela být přidána i ochrana soukromí na webu api.whatsapp.com  Athul Jayaram

Nejprve došlo k opravě výsledků z webu wa.me, následně musela být přidána i ochrana soukromí na webu api.whatsapp.com | Athul Jayaram

Telefonní čísla šlo zjistit doslova z celého světa  Twitter

Telefonní čísla šlo zjistit doslova z celého světa | Twitter

Nyní už je chyba opravena, žádné česká (ani zahraniční) čísla už nejde tak jednoduše vyhledat

Nyní už je chyba opravena, žádné česká (ani zahraniční) čísla už nejde tak jednoduše vyhledat

Analogicky to vypadalo u americké předvolby +1 a krajské předvolby +213  Tomsguide
Nejprve došlo k opravě výsledků z webu wa.me, následně musela být přidána i ochrana soukromí na webu api.whatsapp.com  Athul Jayaram
Telefonní čísla šlo zjistit doslova z celého světa  Twitter
Nyní už je chyba opravena, žádné česká (ani zahraniční) čísla už nejde tak jednoduše vyhledat
5
Fotogalerie

WhatsAppu uniklo 400 tisíc telefonních čísel. Stačilo jen vědět, jak je vyhledat

Pokud používáte WhatsApp, zpozorněte. Vaše telefonní číslo se totiž mohlo objevit ve výsledcích vyhledávání na Googlu, a pokud to učinil někdo „šikovný“, mohl si vytvořit slušnou databázi telefonních čísel (i těch českých). A ta se dá zneužít různými způsoby, např. je přeprodat telemarketingovým službám či různým podvodníkům. Za vše můžete poděkovat funkci Click to Chat, která umožňuje firmám nebo jednotlivcům zaslat QR kód s odkazem, přes něhož mohli uživatelé přes WhatsApp posílat přímé zprávy.

Jenže, do samotných odkazů se dostala i nezašifrovaný řetězec čísla, který je k danému kontaktnímu údaji přiřazeno. A všeteční vyhledávací roboti od Googlu všechny tyto žádosti pečlivě zaindexovali. Pokud jste do Googlu ještě před pár hodinami zadali do vyhledávače: site:wa.me "+420", vyskočilo vám ve výsledcích několik desítek českých telefonních čísel (nebojte, ukazovat je v článku rozhodně nebudeme). Pokud jste změnili mezinárodní předvolbu, mohli jste získat telefonní čísla doslova z celého světa. Celkem šlo v rámci tohoto úniku vyhledat až 400 tisíc telefonních čísel!

Na problém jako první upozornil soukromý bezpečnostní inženýr Athul Jayaram, čehož si všimly i různé zahraniční weby, které upoutaly pozornost Googlu a také WhatsAppu. Jayaram chtěl za zjištění bezpečnostní chyby od WhatsAppu finanční odměnu, Facebook, který aplikaci vlastní, však reagoval negativně. Řešení totiž ukazovalo jen ta čísla, která se uživatelé rozhodli zveřejnit. Ovšem asi v jiném ohledu, než ve veřejně dostupném vyhledávání á-la Zlaté stránky na Googlu...

Největší chybou bylo uložení čísel v plaintextu, tedy v běžné čitelné podobě. Druhou chybou byla indexace všech výsledků z domén wa.me a api.whatsapp.com, do kterých stačilo přidat jen obyčejný soubor robot.txt, který by zamezil jejich indexaci. V půlnoci z neděle na pondělí WhatsApp do domén skutečně soubor robot.txt dohrál, takže z Googlu zmizelo zhruba 400 tisíc volně čitelných telefonních čísel. Už tak nijak neovlivníte, zda to vaše někdo nezískal, každopádně nově se k němu už veřejně nikdo nedostane.

WhatsApp používá každý den 1 miliarda lidí na celém světě, a je až s podivem, jak často se v aplikaci objevují bezpečnostní díry. Naposledy v únoru bylo možné vyhledat soukromé konverzace, zjistit z nich telefonní čísla účastníků a také to, o čem se všichni zúčastnění baví. Spusta zjištěných konverzací se navíc týkala diskusí o nelegálním šíření obsahu pro dospělé. WhatsApp se evidentně nepoučil, v únoru totiž stačilo jen ve vyhledávači od Googlu vyhledat slovní spojení chat.whatsapp.com, a to nám něco připomíná...

Zdroj Athul, Tomsguide

Určitě si přečtěte

Články odjinud