Seorang cybersecurity researcher independen telah menemukan bahwa bug keamanan di WhatsApp membocorkan nomor telepon pengguna yang ditautkan ke akun WhatsApp mereka di hasil Google Search membuat situs pesan sosial berisiko. 

Athul Jayaram yang menemukan kerentanan menyebutkan bahwa bug yang dimaksud berkaitan dengan fitur ‘Click to Chat’ dari WhatsApp, tempat link dihasilkan. 

Fitur Click to Chat WhatsApp memberi pengguna cara mudah untuk memulai obrolan dengan pengunjung di situs web. Fitur ini berfungsi dengan mengaitkan gambar kode Quick Response (QR), atau mengobrol dapat dilakukan dengan mengklik URL tanpa pengunjung harus menekan nomor itu sendiri. 

Menurut Jayaram, nomor telepon pengguna yang menggunakan fitur Click to Chat ini, untuk terhubung dengan situs web dapat ditampilkan di hasil Google Search, karena pencarian mengindeks metadata fitur. 

Nomor telepon yang diungkapkan sebagai bagian dari string URL ( https://wa.me/ < phone_number > diindeks di Google, dan nomor telepon ditampilkan melalui teks biasa. Fitur ini “tidak mengenkripsi nomor telepon dalam link, sebagai akibatnya, jika link ini dibagikan di mana saja, nomor telepon kalian juga terlihat dalam plaintext. 

Ini memudahkan scammers untuk menyusun daftar nomor telepon yang sah. Jayaram menemukan bahwa masalah privasi di portal web WhatsApp membocorkan sekitar 300.000 nomor ponsel pengguna WhatsApp dalam bentuk teks biasa sehingga dapat diakses oleh setiap pengguna internet. 

“Ketika nomor telepon individu bocor, penyerang dapat mengirim pesan kepada mereka, menelepon mereka, menjual nomor telepon mereka ke pemasar, spammer, scammers,” katanya kepada Threatpost. 

Jayaram mengatakan bahwa karena WhatsApp hanya mengidentifikasi nomor telepon (berbeda dengan nama pengguna atau ID email), Google Search hanya mengungkapkan nomor telepon dan bukan identitas pengguna situs pesan sosial. Namun, data ini dapat digunakan untuk mengakses profil pengguna WhatsApp. 

“Melalui profil WhatsApp, mereka dapat melihat foto profil pengguna, dan melakukan pencarian gambar terbalik untuk menemukan akun media sosial lainnya dan menemukan lebih banyak tentang [individu yang ditargetkan],” tambahnya. Menurut Jayaram, menggunakan kombinasi nomor telepon dengan nama dan alamat bisa menjadi titik awal yang kuat untuk pencuri identitas. “


Sumur: