Medan Facebooks onlinemeddelandeapp just firade sina 2 miljarder användare genom att betona kryptering av deras chattar, har en skandal som involverar hundratusentals användares integritet rapporterats ut på webben. 470 000 inbjudningslänkar till privata chattar har indexerats av sökmotorer, som Google. Genom att gå med i dessa förment privata diskussioner kan du komma åt tusentals telefonnummer genom att utföra en enkel webbsökning.
Var kommer de allmänt tillgängliga WhatsApp-länkarna på sökmotorer ifrån?
Om du är administratör för en grupp på WhatsApp kan du skapa en länk i själva appen för att bjuda in andra användare att gå med i diskussionen. Allt du behöver göra är att gå in i chattinställningarna och klicka på “Bjud in till grupp via länk”.
Sedan öppnas ett fönster i WhatsApp-applikationen med en sådan genererad länk, användaren kan dela, kopiera, skanna som QR-kod eller återställa den. I det privata meddelandet står det på sidan: “Vem som helst med WhatsApp kan använda den här länken för att gå med i den här gruppen. Dela det bara med personer du litar på. Det är dessa inbjudningslänkar som, när de väl har skapats, blir offentliga och indexeras av sökmotorer, som Google eller Bing, utan vetskapen om WhatsApp-användare.
Gruppadministratören kan inte längre göra denna inbjudningslänk offentlig. För att göra detta, klicka på knappen “Återställ länk”, som genererar en annan länk. Om du inte distribuerar den kanske den här nya länken inte återindexeras av sökmotorer, vilket gör att du kan behålla anonymiteten på webben.
Antal franska politiska personer tillgängliga på Google
Genom att söka efter webbadressen som motsvarar en WhatsApp-chatt eller genom att ange den allmänna frågan “site:chat.whatsapp.com” på Google, är hundratusentals av dessa chattar tillgängliga med några få musklick. Om alla inte längre är aktiva och om meddelanden som skickats före integrationen i en grupp inte kan nås, är alla telefonnummer till personer i dessa grupper också offentligt tillgängliga .
Således är kontaktuppgifterna för politiska personer, som feministiska aktivisten Caroline de Haas, den europeiska landssekreteraren Écologie Les Verts Julien Bayou, eller till och med en medlem av LREM-kampanjen för det 10:e arrondissementet i Paris, så lättillgängliga från en enkel Google-fråga, enligt en undersökning gjord av Numerama.
Google ignorerar WhatsApp-inbjudningslänkar på sitt verktyg
Om Google har hänvisat till alla WhatsApp-länkar som har indexerats av dess motor, och visar sig vara den mest lyhörda, är detsamma inte sant för Bing, som fortfarande refererar till nästan 700 000 länkinbjudningar till privata chattar på WhatsApp.
Sök på webbplatsen: chat.whatsapp.com på Google den 24 februari 2020.
Sök på webbplatsen: chat.whatsapp.com på Bing den 24 februari 2020.Facebook meddelade från november 2019…
Skandalen avslöjades på fredagen av den amerikanska webbplatsen Vice, baserat på en tråd postad på Twitter av Deutsche Welles tyska journalist Jordan Wildon:
Dina WhatsApp-grupper kanske inte är så säkra som du tror.
Funktionen “Bjud in till grupper via länk” tillåter Google att indexera grupper, och de är generellt tillgängliga på internet. Med vissa söktermer med jokertecken kan du enkelt hitta några… intressanta… grupper. pic.twitter.com/hbDlyN6g3q
– Jordan Wildon (@JordanWildon) 21 februari 2020
Enligt forskaren Jane Wong kan en felkonfiguration av WhatsApp ligga bakom indexeringen av cirka 470 000 gruppinbjudningar, vilket svarar på Jordan Wilsons tweet:
Utlöst felkonfiguration av WhatsApp ~ 470k Gruppinbjudningslänkar indexerade av sökmotorer
Det måste vara “Otillåtet” med robots.txt eller med metataggen “noindex”.
tack @JordanWildon för tipset https://t.co/CJxjJ5qyfh pic.twitter.com/FrW1I9Y8vs
– Jane Manchun Wong (@wongmjane) 21 februari 2020
I november förra året ifrågasatte Vijju, en indisk cybersäkerhetsforskare, ämnet Facebook, som äger WhatsApp. Kurt, säkerhetsmedlem i Facebook-gruppen, svarade senare att det inte var en “bugg”. Eftersom dessa länkar är offentliga är de “tillgängliga för alla” och skapandet av dessa inbjudningslänkar är fortfarande ett “avsiktligt beslut”.
Kurt medger fortfarande att det var en överraskning för dem att bli indexerade av Google. “Tyvärr kan vi inte kontrollera allt som sökmotorer, som Google och andra, väljer att indexera. »
Jag rapporterade till facebook i början av november pic.twitter.com/QB7pHsz5vu
– HackrzVijay (@hackrzvijay) 21 februari 2020
WhatsApp och Google passerar framgångsrikt
På frågan från Vice sa en WhatsApp-representant i ett uttalande: “Administratörer av WhatsApp-grupper kan bjuda in alla användare att gå med i den här gruppen via en länk på begäran. Liksom allt innehåll som delas på sökmotorsidor kan inbjudningslänkar som publiceras på webben hittas av andra WhatsApp-användare. Dessa länkar, som användare vill hålla privata från andra de känner och litar på, bör inte läggas ut på offentliga webbplatser”.
Google svarade för sin del via Danny Sullivan på Twitter och flyttade därmed ansvaret för skandalen till WhatsApp: “Sökmotorer som Google och andra identifierar webbplatser offentligt. Här är vad som hände i det här fallet. Dessa sidor behandlas som alla sidor med en offentlig URL. Vi tillhandahåller verktyg för webbplatser som vill blockera hänvisningen till deras innehåll. »
Sökmotorer som Google och andra listar sidor från den öppna webben. Det är vad som händer här. Det skiljer sig inte från alla andra fall där en webbplats tillåter offentligt listade webbadresser. Vi tillhandahåller verktyg som tillåter webbplatser att blockera innehåll som listas i våra resultat: https://t.co/D1YIt228E3
– Danny Sullivan (@dannysullivan) 21 februari 2020
