Oltre 400K link di invito a gruppi WhatsApp privati sono esposti ai motori di ricerca
Oltre 400K link di invito a gruppi WhatsApp privati sono esposti ai motori di ricerca
WhatsApp è una delle piattaforme di messaggistica più utilizzate al mondo. Proprio questo mese, la società ha annunciato di aver superato i 2 miliardi di utenti. Come con altre piattaforme di messaggistica, le chat di gruppo di WhatsApp sono un modo popolare per comunicare con la tua famiglia o gruppi di amici, colleghi o estranei di Internet. Gli utenti possono invitare altri a gruppi privati con la funzione “Invita al gruppo tramite collegamento” e quindi condividere quel collegamento come desiderano. Se quei link di invito vengono condivisi online, sembra che sia allarmante facile trovarli con una semplice query del motore di ricerca.
I tuoi gruppi WhatsApp potrebbero non essere sicuri come pensi.
La funzione “Invita al gruppo tramite collegamento” consente ai gruppi di essere indicizzati da Google e sono generalmente disponibili su Internet. Con alcuni termini di ricerca con caratteri jolly puoi facilmente trovare alcuni gruppi interessanti. pic.twitter.com/hbDlyN6g3q
Giordano Wildon (@JordanWildon) 21 febbraio 2020
Questo difetto di progettazione è stato segnalato per la prima volta dal giornalista Jordan Wildon su Twitter. Ha scoperto che gli URL “Invita al gruppo tramite collegamento” venivano indicizzati da Google e potevano essere trovati con i termini di ricerca corretti. I collegamenti della chat di gruppo utilizzano l’URL di base “chat.whatsapp.com”, che può essere trovato su Google con il modificatore “site:”.
Jane Manchun Wong, nota per le app di reverse engineering, ha portato maggiore attenzione sulla situazione. Ha scoperto che Google ha oltre 470.000 risultati quando effettua una semplice ricerca nel sito per l’URL “chat.whatsapp.com”. Molti di questi risultati sono inviti per gruppi privati. Una volta che un utente si unisce a un gruppo, può vedere tutti i partecipanti e i loro numeri di telefono. Ovviamente, questo è un problema di privacy piuttosto grande in quanto alcuni dei gruppi là fuori sono quelli a cui le persone potrebbero non voler essere pubblicamente associate.
Una configurazione errata di WhatsApp ha consentito l’indicizzazione da parte dei motori di ricerca di ~470k Group Invite link
Dovrebbe essere stato `Disallow` con robots.txt o con il meta tag `noindex`
Grazie @JordanWildon per la mancia https://t.co/CJxjJ5qyfh pic.twitter.com/FrW1I9Y8vs
Jane Manchun Wong (@wongmjane) 21 febbraio 2020
Danny Sullivan, referente per la ricerca pubblica di Google, twittato sulla situazione, dicendo: “I motori di ricerca come Google e altri elencano le pagine del Web aperto. Ecco cosa sta succedendo qui. Non è diverso da qualsiasi caso in cui un sito consente di elencare pubblicamente gli URL”. Continua dicendo che ci sono strumenti per i webmaster per impedire che i contenuti appaiano nei risultati di ricerca, cosa che WhatsApp chiaramente deve fare per proteggere gli utenti di questi gruppi.
Non è colpa di Google o di qualsiasi altro motore di ricerca. Come hanno sottolineato Jane e Danny, ciò è dovuto alla mancanza di lungimiranza da parte di WhatsApp. Dovrebbero utilizzare il meta tag “noindex” o “norobots.txt” per escludere la visualizzazione delle pagine di invito nei motori di ricerca.
Un portavoce di WhatsApp ha rilasciato la seguente dichiarazione a Vice:
Gli amministratori di gruppo nei gruppi WhatsApp possono invitare qualsiasi utente WhatsApp a unirsi a quel gruppo condividendo un collegamento che hanno generato. Come tutti i contenuti condivisi in canali pubblici ricercabili, i link di invito pubblicati pubblicamente su Internet possono essere trovati da altri utenti di WhatsApp. I link che gli utenti desiderano condividere in privato con persone che conoscono e di cui si fidano non devono essere pubblicati su un sito web pubblicamente accessibile.
WhatsApp sta dicendo che i link condivisi pubblicamente su Internet sono ricercabili, ma questo è il vero problema qui. Questo non è il caso di persone che trovano alcuni collegamenti a chat di gruppo che sono stati condivisi incautamente online. Migliaia di link di invito alla chat di gruppo sono facilmente individuabili perché WhatsApp si rifiuta di fare qualsiasi cosa per impedire ai motori di ricerca di indicizzarli. Le persone non dovrebbero condividere questi URL online, ma WhatsApp potrebbe risolvere il problema della loro facilità di ricerca.
