Полмиллиона ссылок на приватные беседы из WhatsApp оказались в свободном доступе
Приглашения в приватные чаты мессенджера WhatsApp оказались доступными для индексации поисковыми системами. Таким образом, в открытом доступе обнаружились ссылки на более чем 470 000 приватных бесед, к которым пользователи могли присоединиться без ведома администратора.
О том, что ссылки на приглашения в чаты оказались в выдаче Google, рассказал журналист Deutshe Welle Джордан Уилдон. По его словам, поисковик считал ссылки, созданные администраторами групп, и сделал их доступными для всех. В результате журналисту удалось, например, вступить в чат некоммерческой организации, аккредитованной ООН, и получить телефонные номера всех её участников. В качестве подтверждения Уилдон прикрепил к посту скриншот результатов поиска Google.
Your WhatsApp groups may not be as secure as you think they are.
— Jordan Wildon (@JordanWildon) February 21, 2020
The "Invite to Group via Link" feature allows groups to be indexed by Google and they are generally available across the internet. With some wildcard search terms you can easily find some… interesting… groups. pic.twitter.com/hbDlyN6g3q
Тот факт, что брешь в системе безопасности приложения WhatsApp позволяет найти через поиск около 470 000 приватных ссылок, подтвердила и специалист по безопасности приложений Джейн Манчун Вонг.
A misconfiguration by WhatsApp enabled ~470k Group Invite links to be indexed by search engines
— Jane Manchun Wong (@wongmjane) February 21, 2020
It should’ve been `Disallow`ed with robots.txt or with the `noindex` meta tag
thanks @JordanWildon for the tip https://t.co/CJxjJ5qyfh pic.twitter.com/FrW1I9Y8vs
После появления первых сообщений об уязвимости разработчики WhatsApp устранили сбой, так что теперь Google больше не выдаёт ссылки на беседы. Однако в поисковой системе «Яндекс» всё ещё доступно примерно 74 000 ссылок на приватные группы, которые выдаются по запросу site: chat.whatsapp.com.
Это не первая уязвимость WhatsApp, обнаруженная за последнее время. В октябре 2019 года в приложении нашли ошибку безопасности, которая позволяла взламывать мессенджер и читать чужую переписку с помощью GIF-файлов. Ещё раньше с критикой в адрес политики безопасности WhatsApp выступил основатель конкурирующего мессенджера Telegram Павел Дуров, заявивший, что использование WhatsApp делает персональные данные пользователей доступными для хакеров и спецслужб.
У «Секрета фирмы» есть страница в Instagram. Подписывайтесь!