Uma falha descoberta por um pesquisador em segurança digital revela que números privados de WhatsApp podem estar disponíveis em buscas na web. Em artigo publicado no último sábado (6), Athul Jayaram descreve como descobriu a falha de privacidade do mensageiro, permitindo que entre 29 mil e 300 mil números privados fossem encontrados em buscas do Google, com acesso também às fotos de perfil dos usuários, em alguns casos.
Questionado pela equipe de reportagem, o WhatsApp disse, por meio de um porta-voz, que o relatório do pesquisador “não se qualificou para receber uma recompensa, uma vez que apenas continha um índice de URLs que os usuários do WhatsApp optaram por tornar públicos”, e que “todos os usuários do WhatsApp, incluindo empresas, podem bloquear mensagens indesejadas com o toque de um botão“. O Google não vai comentar o caso.
Segundo o pesquisador, o número de resultados de pesquisas no Google pode variar conforme a localização, já que há diferenças em resultados a depender do domínio explorado — buscas realizadas como o domínio google.com ou google.co.in (Índia), por exemplo, podem apresentar resultados diferentes para uma mesma consulta. Porém, diversos países tiveram números privados de WhatsApp expostos na web aberta, tais como os Estados Unidos, Índia, Reino Unido e Brasil.

Google indexa links para números brasileiros do WhatsApp — Foto: Reprodução/TechTudo

Athul Jayaram revela que o problema está nos links gerados com URL “wa.me/<número do WhatsApp>“, que podem ser compartilhados diretamente ou acessados a partir da leitura do QR Code gerado para cada usuário. De acordo com o artigo, o recurso não é capaz de fornecer criptografia ao número de telefone presente no link — se a URL for compartilhada em outras plataformas, ela pode ser acessada e indexada pelo Google, que disponibiliza os números como resultados de buscas.
Nosso recurso Click-to-Chat, que permite que os usuários criem uma URL com seu número de telefone para que qualquer pessoa possa enviar mensagens mais facilmente, é amplamente utilizado por pequenas e microempresas de todo o mundo para se conectar com seus clientes. Apreciamos relatório deste pesquisador e valorizamos o tempo que ele dedicou para compartilhá-lo conosco. Porém, ele não se qualificou para receber uma recompensa, uma vez que apenas continha um índice de URLs que os usuários do WhatsApp optaram por tornar públicos. Todos os usuários do WhatsApp, incluindo empresas, podem bloquear mensagens indesejadas com o toque de um botão“. – Porta-voz do WhatsApp
O Google disponibiliza recursos para que desenvolvedores bloqueiem suas páginas dos resultados de buscas. É possível, por exemplo, incluir a tag “noindex” no código-fonte de certas partes do site para que o mecanismo de buscas não leia as páginas.
Pesquisadores alemães já haviam alertado quanto à indexação de links de convites de grupos no buscador. O que não se sabia até o momento era a possibilidade de números privados também serem acessados por buscas simples na Internet.
Como se proteger?
Athul Jayaram alerta que a falha de segurança pode representar problemas de privacidade, principalmente se as configurações do perfil estiverem definidas para “Todos“, opção padrão do app. Isso significa que, por meio do número, pessoas desconhecidas podem ter acesso à sua foto, além de nome e status. Jayaram menciona também o possível acesso aos números por companhias de telemarketing ou, ainda, por cibercriminosos e fraudadores.
Não é possível revogar o acesso ao seu link pessoal do WhatsApp, mas é importante evitar compartilhá-lo de forma pública em redes sociais e em fóruns na web. Além disso, é válido configurar seu perfil para que foto e status, por exemplo, só possam ser vistos pelos seus contatos. Para isso, basta abrir o WhatsApp, acessar “Configurações“, “Conta” e “Privacidade“. Em seguida, defina as opções desejadas para “Meus contatos“.

Alterando privacidade da foto de perfil do WhatsApp — Foto: Reprodução/Helito Beggiora

Fonte: Clara Fabro, para o TechTudo