La peligrosa vulnerabilidad se ha descubierto a raíz de la implementación de la función “Hacer clic para chatear”, que permite a los propietarios de sitios web insertar un botón que abrirá inmediatamente una ventana de conversación con ayuda.
El investigador en temas de seguridad informática Athul Jayaram se ha descubierto que esta opción muestra los números de teléfono de los usuarios en los resultados de búsqueda de Google.
Esto se debe a que la clave de Whatsapp no hace más que usar metadatos con una redirección al sitio https://wa.me/ y no hay forma de ocultar los metadatos de los resultados de búsqueda para los cuales estos los enlaces de números de teléfono sin cifrar aparecen en Google. Desde el número de teléfono, a su vez, es posible ver el nombre y la foto de una persona.
En su investigación, Athul ha encontrado más de 300,000 números de teléfono publicados a través de este mecanismo. Siguiendo su método la forma de contar los números filtrados en España sería escribiendo: “site:wa.me “+34” en el buscador de Google. Mientras que para buscar un número específico en nuestro país bastaría con escribir site:wa.me “+34 xxx xx xx xx” sustituyendo las x por el número telefónico.
Aunque la exposición de este tipo de información es un riesgo que no le gustaría correr a ningún usuario, Facebook parece considerarlo poco importante. Después de informar todo a Facebook a través del programa Bug Bounty, la compañía respondió al investigador diciendo que no es un problema de seguridad:
Quienes deciden usar esta función deciden exponer sus datos en línea. Aunque esto podría provocar la llegada de mensajes no deseados, cada usuario puede bloquearlos presionando un solo botón.
Sin embargo, en su informe Athul compartió su punto de vista, quizás previendo este tipo de respuesta: “aprendí el principio clave para no entregar la seguridad de su sitio web o datos a los usuarios, siempre debe estar asegurado por la organización. Si la organización no, no lo esperes de los usuarios. Culpar a los usuarios no hará la diferencia, la organización debería ocuparse de eso.”
Finalmente, el investigador compartió: “Whatsapp también puede solicitar la eliminación de todos los enlaces de Google utilizando las herramientas de Google Webmaster: una herramienta gratuita donde puede eliminar enlaces de su sitio web y bloquear su aparición en el buscador.”