毛骨悚然!WhatsApp 群組連結、用戶資料曝於 Google 搜尋

Gadgets 360 報告指出,搜尋結果中大約有 1,500 個 WhatsApp 群組邀請連結。有了這些連結,未被邀請的人可以輕鬆加入群組。
評論
Photo Credit:Shutterstock/達志影像
Photo Credit:Shutterstock/達志影像
評論

網路安全研究員 Rajshekhar Rajaharia(@rajaharia)在 Twitter上發現 WhatsApp 中的漏洞,WhatsApp 聊天群組邀請連結和用戶個人資料可以透過 Google 搜尋公開造訪。你沒有看錯,就像在你可搜尋的公開平台中所有內容一樣。

Gadgets 360 報告指出,搜尋結果中大約有 1,500 個群組邀請連結。有了這些連結,未被邀請的人可以輕鬆加入群組。搜尋引擎巨頭 Google 還索引 5,000 多個 WhatsApp 用戶個人資料,這些資料可取得的包含個人資料照片和電話號碼。Rajaharia 補充說,WhatsApp 沒有使用防止搜尋器將內容編入索引的 robots.txt。

而另一方面,其他 WhatsApp 用戶也可以找到在網路上公開發表邀請連結,然而,用戶希望的是能和自己認識、信任的人私下共享的連結,不應是能任意公開發表在讓大眾取得的網站上。

WhatsApp 發言人向外媒發出聲明表示:「自 2020 年 3 月起,WhatsApp 在所有 Deep Link 頁面上都包含了「noindex」標籤,目前也已回報給 Google,據 Google 稱,這些連結將被排除索引,避免這些聊天記錄編入索引。同時也提醒,只要有人加入群組,群組中的每個人都會收到通知,管理員可以隨時移除或更改群組邀請連結。」

WhatsApp 現在已解決了此問題,表示已要求 Google 不要為此類聊天建立索引,並建議用戶不要在可公開造訪的網站上共享群組連結。

以隱私安全自豪的 WhatsaApp 持續現隱憂

Rajaharia 還發推文表示,Whatsapp 還允許用戶生成群組邀請多個預覽連結,這可能讓搜尋引擎爬蟲程式可以辨識這些連結,並為之後的搜尋建立索引。即便此漏洞在去年被公開後已由 Whatsapp 修復,如今問題再次浮出水面。他進一步補充說,WhatsApp 很快反應進行處理,在凌晨時將其所有群組邀請和個人資料連結從 Google 搜尋中刪除。

想想實在非常毛骨悚然,大眾簡單的在 Google上就能搜尋到 WhatsApp 上所建立私人群組,可以取得連結並加入。接著,就能近一步看到群組成員以及他們的電話號碼和頭貼照片,即便已經修復漏洞,聽起來還是讓人不寒而慄,個資暴露在光天化日之下,且是一般人而非專業駭客就能潛入群組與取得個資,被誰查看都無從得知。

WhatsApp 過去都是以安全性受讚譽,標榜在個人訊息都預設為端對端加密保護,讓用戶不用擔憂駭客與不法之徒的侵擾,以隱私和安全性的 DNA 自豪,近日,WhatsApp 在個資上持續惹議上身,上週 WhatsApp 向用戶發送隱私條款更新通知,WhatsApp 宣布更新隱私條款要求用戶與 Facebook 共享數據,並取消「不與 Facebook 共享 WhatsApp 帳戶資料」的選項,更新將於 2 月 8 日生效。如今,要繼續使用的用戶,只能接受,不過也就得更加小心謹慎了!

核稿編輯:李柏鋒

延伸閱讀: