Início » Aplicativos e Software » WhatsApp expõe 470 mil convites de grupo na busca do Google

WhatsApp expõe 470 mil convites de grupo na busca do Google

Link do WhatsApp deixa entrar em grupos sem aprovação do administrador; convites podem ser acessados via busca no Google

Felipe Ventura Por

Os grupos do WhatsApp têm um problema em potencial: milhares de convites em forma de link foram indexados pelo Google e podem ser acessados facilmente através de uma busca; alguns são até sugeridos no app do Google para Android. Com essa URL, é possível entrar em grupos sem precisar de aprovação do administrador.

WhatsApp (imagem: Pixabay)

Jordan Wildon, jornalista da Deutsche Welle, encontrou cerca de 470 mil links para grupos de WhatsApp na busca do Google. Ele diz no Twitter que descobriu isso acidentalmente ao usar o CrowdTangle, ferramenta de monitoramento de redes sociais, no WhatsApp Web: isso resultou em uma lista dos convites mais compartilhados online.

Encontrar esses grupos é mais fácil do que parece: basta fazer uma pesquisa por “site:chat.whatsapp.com”. O Google informa 466 mil resultados na versão em inglês, e 450 mil no site para o Brasil. Alguns convites podem ser duplicados: às vezes, o Google indexa o mesmo link em mais de um idioma.

WhatsApp no Google

Convites de WhatsApp no Google

“Não é exatamente uma violação de dados”, explica a pesquisadora Jane Manchun Wong, mas “as pessoas esperam que os links de convite sejam privados em certa medida”.

Pior: o desenvolvedor Matt Pratta, que trabalha aqui no Tecnoblog, recebeu uma sugestão automática do Google para entrar em um grupo aleatório do Quênia (!). O link de convite do WhatsApp apareceu no app do Google para Android, que costuma recomendar notícias relevantes.

WhatsApp

Na seção de ajuda, o WhatsApp explica que qualquer usuário com quem você compartilhar o link de convite poderá entrar no grupo. “Lembre-se que uma pessoa pode encaminhá-lo para outras pessoas; nesse caso, essas outras pessoas poderão entrar no grupo sem precisar da aprovação do admin”, diz a empresa.

O WhatsApp poderia facilmente impedir que o Google indexasse links de grupos. Existem duas ferramentas para isso: o arquivo robots.txt, com regras para barrar (ou permitir) o acesso de rastreadores; ou a tag “noindex” no código HTML da página, que bloqueia a indexação da busca.

No entanto, o WhatsApp não deve fazer nada disso. A empresa diz em comunicado ao Motherboard:

Assim como todo o conteúdo compartilhado em canais públicos pesquisáveis, os links de convite divulgados publicamente na internet podem ser encontrados por outros usuários do WhatsApp. Os links que os usuários desejam compartilhar em particular com pessoas que conhecem e confiam não devem ser publicados em um site acessível ao público.

WhatsApp permite entrar em grupos por força bruta

Wildon afirma que é possível usar força bruta para encontrar links do WhatsApp que correspondem a um grupo ativo.

Isso acontece porque a URL de convite sempre tem o formato chat.whatsapp.com/XXXXX, em que XXXXX é uma sequência de letras maiúsculas, minúsculas e números. Ou seja, você pode “chutar” essa sequência e achar um grupo para entrar.

“Qualquer link de grupo compartilhado fora de mensagens privadas e seguras pode ser encontrado e ingressado com relativa facilidade”, afirma Wildon. O Google também indexou cerca de 25 mil convites de grupo do Telegram: são links com o formato telegram.me/joinchat/XXXXX.

Comentários da Comunidade

Participe da discussão
7 usuários participando

Os mais notáveis

Comentários com a maior pontuação

Eu (@Keaton)

eitapoha… google fez das dele. hahaha

Nilberto Melo (@nilberto)

Antes que os testemunhas do Deus Telegram venham pregar a palavra

O Google também indexou cerca de 25 mil convites de grupo do Telegram: são links com o formato telegram.me/joinchat/XXXXX.

Sérgio (@trovalds)

Antes de falar bobagem, os grupos e supergrupos do Telegram não são burlados se você entrar por um link desses. As regras de grupo vão se aplicar normalmente, como exigência de aprovação de um administrador antes de liberar a entrada ou a conta ser limitada apenas pra visualização, etc. E esses links as pessoas postam propositalmente, não é uma base de dados vazada.

Diogo Nóbrega (@diogoan)

Querem ver mais um lugar onde isso acontece? Pesquisem no google por “site:docs.google.com”, e vocês verão todos os arquivos públicos. Lá pra página 8 eu consegui achar uns filmes recentes:
image781×839 51.5 KB
Pelo menos no Google Docs ele dá um aviso dizendo que quando você torna um arquivo público, o link dele se torna indexável, então não dá pra dizer que se espera que esses links sejam privados…

Felipe Ventura (@felipe)

Algo semelhante acontece com o Trello: https://tecnoblog.net/310343/trello-usuarios-deixam-senhas-numeros-cartao-boards-publicos/

É uma situação parecida: para tornar um board público, o usuário precisa confirmar e é avisado de que qualquer pessoa poderá ver.

@xtudao

E eu querendo sair de grupo sem ninguém saber,

Gustavo (@GustavoF)

Aparentemente já corrigiram o problema!