СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
08.06.2020
#Dev#ИБ

Google проиндексировал номера телефонов пользователей мессенджера WhatsApp

ИБ-специалист Атул Джаярам в своем блоге рассказал о том, что поисковая система Google индексирует номера телефонов, которые принадлежат пользователям мессенджера WhatsApp. Эксперт отметил, что подобное недопустимо, потому что речь идет об утечке конфиденциальных данных, которые могут в дальнейшем использоваться киберпреступниками в злонамеренных целях.

Внимание господина Джаярама привлек домен wa.me, который принадлежит WhatsApp. Он применяется мессенджером для размещения ссылок «click to chat», с помощью которых пользователи могут начать чат с новым собеседником, не сохраняя его номер в контактах своего устройства.

Атул Джаярам отмечает, что в доменах wa.me и api.whatsapp.com нет файла robots.txt, в котором бы можно было прописать запрет на сканирование размещенных на сайте телефонных номеров. Именно поэтому Google и другие поисковики сканируют все ссылки, которые начинаются с https://wa.me/…, после чего публикуют результаты в результатах поиска.

Номера телефонов WhatsApps проиндексированы в Google

В Threatpost Атул Джаярам опубликовал следующее сообщение: «Проиндексированные телефонные номера киберпреступники могут использовать для отправки сообщений, совершения звонков, продажи спамерам, маркетологам и другим заинтересованным лицам».

Если нажать на ссылке в поисковой выдаче Google, то пользователь будет автоматически перенаправлен на страницу api.whatsapp.com, с помощью которой можно «продолжить чат» с конкретным пользователем мессенджера WhatsApp.

Специалисты BleepingComputer провели эксперимент. Они создали поддельную ссылку http://wa.me/11111, после чего их перенаправило на страницу api.whatsapp.com/send?phone=11111. Система думает, что «11111» реальный контакт WhatsApp, хотя он таковым не является. Поэтому киберпреступники даже после копирования всех найденных номеров вряд ли смогут продуктивно использовать обнаруженную утечку.

Поддельные WhatsApp нажмите на ссылку чата

Именно поэтому в Facebook не стали признавать найденную проблему серьезной, поэтому отказали Атулу Джаяраму в получении вознаграждения, что обычно предусмотрено на нахождение уязвимостей.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: