Buscador do Google indexa convites para grupos de WhatsApp (incluindo links para grupos privados), o que os torna visíveis e acessíveis a qualquer usuário que queira ingressar no grupo.
O jornalista Jordan Wildon chamou a atenção para o problema. Ele descobriu que o recurso “Convidar para grupo” do WhatsApp permite que o Google indexe esses grupos, disponibilizando-os em uma pesquisa geral na Web, já que os links são distribuídos fora do serviço seguro do WhatsApp.
“Seus grupos do WhatsApp podem não ser tão seguros quanto você pensa. O “Convidar para grupo via link” recurso permite que grupos sejam indexados pelo Google e geralmente estão disponíveis na Internet. Com alguns termos de pesquisa curinga, você pode facilmente encontrar alguns… interessantes… grupos”, - escreveu Jordan Wildon.
As conversas privadas do WhatsApp geralmente só são acessíveis por meio de um código de convite entregue aos membros do grupo pelo moderador do bate-papo. Mas este código é simplesmente uma sequência de texto e uma URL, e parece que pelo menos alguns deles estão sendo indexados para que possam ser encontrados por qualquer pessoa através do Google.
Durante o investigação, Repórteres da placa-mãe encontraram grupos privados usando uma pesquisa específica do Google. Em particular, conseguiram ingressar em um grupo dedicado a ONGs credenciadas pela ONU e ter acesso a uma lista de todos 48 participantes e seus números de telefone.
Se desejado, administradores de grupo podem tornar o link de bate-papo inválido, no entanto, de acordo com Wildon, em tais casos, O WhatsApp só gera um novo link e nem sempre desativa o original.
Conforme explicado pelo representante do Facebook/WhatsApp Alison Bonnie, da mesma forma com qualquer conteúdo distribuído através de canais públicos, se o link do convite for compartilhado na Internet, qualquer usuário do WhatsApp pode encontrá-lo.
“Links que os usuários desejam compartilhar de forma privada com pessoas de confiança não devem ser publicados em um site público”, - Bonnie disse.
Mas hacker ético @HackrzVijay disse ele relatou o problema ao proprietário do WhatsApp, Facebook, em novembro, e o Facebook não fez nada a respeito. Na verdade, é uma “decisão intencional do produto”, Facebook disse, e os administradores do grupo “podem invalidar o link, se desejarem”.
Além disso, embora os representantes do Facebook estivessem “surpreso” que os links são indexados pelo Google, no WhatsApp / O Facebook admitiu que não pode controlar a indexação do Google.
Bate-papos em grupo parecem ser um problema do WhatsApp. Só recentemente escrevi isso an attacker in a WhatsApp group chat could disable messengers of other participants, e eu me pergunto o que aconteceria com os bate-papos de organizações sérias se os cibercriminosos soubessem dessas duas vulnerabilidades ao mesmo tempo?