O Facebook conseguiu finalmente detectar e corrigir uma vulnerabilidade de segurança que expôs milhares de números Whatsapp dos utilizadores a uma simples pesquisa no Google.

Na plataforma Medium a 6 de junho, Athul Jayarum, um investigador indiano, publicou a suas descobertas que em alguns domínios indexados na pesquisa do Google: https://wa.me e https://api.whatsapp.com. Os utilizadores podem gerar URLs - para Códigos QR - além de que esses domínios que contêm os números de telefone não estão criptografados como subdiretórios para ser possível partilhar com os amigos - esses amigos podem clicar nele começar imediatamente a conversar convosco no WhatsApp.

WhatsApp corrige problema grave que expunha utilizadores aos motores de busca 1

Javarum escreveu que o Facebook não fez as devidas diligências para impedir que o Google leia os URLs, inserindo um arquivo robots.txt na raiz do servidor ou, pelo menos, onde metatags noindex nas páginas individuais.

WhatsApp corrige problema grave que expunha utilizadores aos motores de busca 2

Uma pesquisa no Google usando site: function para api.whatsapp.com ou wa.me, com um código de país (como +1 nos EUA ou +91 na Índia, por exemplo) gera uma relevante quantidade registos privados WhatsApp.  O investigador conseguiu ligar e conversar com uma amostra aleatória de utilizadores.

Inicialmente, o Facebook retirou o wa.me dos resultados Google e acabou mesmo por remover o api.whatsapp.com.

Jayaram entrou em contato com o Facebook para ver se a empresa ofereceria uma recompensa por encontrar este bug de abuso de dados no WhatsApp, mas ficou desapontado ao saber que não. De acordo com as suas políticas Jayaram não tem direito a nada. Com uma base de utilizadores de mais de 2 mil milhões, o investigador argumenta que deveria ser recompensado por ter conseguido identificar um problema tão flagrante.