Facebook realizó un publicitario de whack-a-mole parcheando una vulnerabilidad de seguridad que expuso miles de números de teléfono de los usuarios de WhatsApp con una búsqueda en Google bastante simple. El investigador indio que encontró esta escapatoria también está llorando por no poder recibir una recompensa por su hallazgo de error.
En una publicación de Medium el 6 de junio, Athul Jayarum publicó sus descubrimientos iniciales en algunos dominios que se indexaron en la búsqueda de Google: https://wa.me y https://api.whatsapp.com. Los usuarios pueden generar URL, para los usuarios beta en este momento, puede ser a través de nuevos códigos QR para compartir perfiles, además de estos dominios que contienen sus números de teléfono sin cifrar como subdirectorios para compartir con amigos; esos amigos pueden hacer clic en él e inmediatamente Comience a chatear con el usuario en WhatsApp.
Además de ese aspecto cuestionable, Javarum escribió que Facebook no hizo la diligencia debida para evitar que Google raspe las URL insertando un archivo robots.txt en la raíz del servidor o al menos incluyendo metaetiquetas noindex en las páginas individuales.
Una búsqueda en Google usando el sitio: función para api.whatsapp.com o wa.me junto con un código de país (formateado como +1 para EE. UU. O +91 para India, por ejemplo) muestra un montón de estos chats directos de WhatsApp portales Presumiblemente, debe haber al menos algunas entradas para casi todos los códigos de país, por lo que si bien cada país genera cientos de resultados, se acumulan en muy poco tiempo. Jayaram pudo conectarse y chatear con una muestra aleatoria de usuarios. Pero, como hemos informado, las posibilidades de abuso van más allá de eso.
Una búsqueda en Google usando el sitio: función para api.whatsapp.com o wa.me junto con un código de país (formateado como +1 para EE. UU. O +91 para India, por ejemplo) muestra un montón de estos chats directos de WhatsApp. Presumiblemente, debe haber al menos algunas entradas para casi todos los códigos de país, por lo que si bien cada país genera cientos de resultados, se acumulan en muy poco tiempo. Jayaram pudo conectarse y chatear con una muestra aleatoria de usuarios. Pero, como hemos informado, las posibilidades de abuso van más allá de eso.