WhatsApp expõe 470 mil convites de grupo na busca do Google
Link do WhatsApp deixa entrar em grupos sem aprovação do administrador; convites podem ser acessados via busca no Google
Link do WhatsApp deixa entrar em grupos sem aprovação do administrador; convites podem ser acessados via busca no Google
Os grupos do WhatsApp têm um problema em potencial: milhares de convites em forma de link foram indexados pelo Google e podem ser acessados facilmente através de uma busca; alguns são até sugeridos no app do Google para Android. Com essa URL, é possível entrar em grupos sem precisar de aprovação do administrador.
Jordan Wildon, jornalista da Deutsche Welle, encontrou cerca de 470 mil links para grupos de WhatsApp na busca do Google. Ele diz no Twitter que descobriu isso acidentalmente ao usar o CrowdTangle, ferramenta de monitoramento de redes sociais, no WhatsApp Web: isso resultou em uma lista dos convites mais compartilhados online.
Encontrar esses grupos é mais fácil do que parece: basta fazer uma pesquisa por “site:chat.whatsapp.com”. O Google informa 466 mil resultados na versão em inglês, e 450 mil no site para o Brasil. Alguns convites podem ser duplicados: às vezes, o Google indexa o mesmo link em mais de um idioma.
“Não é exatamente uma violação de dados”, explica a pesquisadora Jane Manchun Wong, mas “as pessoas esperam que os links de convite sejam privados em certa medida”.
Pior: o desenvolvedor Matt Pratta, que trabalha aqui no Tecnoblog, recebeu uma sugestão automática do Google para entrar em um grupo aleatório do Quênia (!). O link de convite do WhatsApp apareceu no app do Google para Android, que costuma recomendar notícias relevantes.
Na seção de ajuda, o WhatsApp explica que qualquer usuário com quem você compartilhar o link de convite poderá entrar no grupo. “Lembre-se que uma pessoa pode encaminhá-lo para outras pessoas; nesse caso, essas outras pessoas poderão entrar no grupo sem precisar da aprovação do admin”, diz a empresa.
O WhatsApp poderia facilmente impedir que o Google indexasse links de grupos. Existem duas ferramentas para isso: o arquivo robots.txt, com regras para barrar (ou permitir) o acesso de rastreadores; ou a tag “noindex” no código HTML da página, que bloqueia a indexação da busca.
No entanto, o WhatsApp não deve fazer nada disso. A empresa diz em comunicado ao Motherboard:
Assim como todo o conteúdo compartilhado em canais públicos pesquisáveis, os links de convite divulgados publicamente na internet podem ser encontrados por outros usuários do WhatsApp. Os links que os usuários desejam compartilhar em particular com pessoas que conhecem e confiam não devem ser publicados em um site acessível ao público.
Wildon afirma que é possível usar força bruta para encontrar links do WhatsApp que correspondem a um grupo ativo.
Isso acontece porque a URL de convite sempre tem o formato chat.whatsapp.com/XXXXX, em que XXXXX é uma sequência de letras maiúsculas, minúsculas e números. Ou seja, você pode “chutar” essa sequência e achar um grupo para entrar.
“Qualquer link de grupo compartilhado fora de mensagens privadas e seguras pode ser encontrado e ingressado com relativa facilidade”, afirma Wildon. O Google também indexou cerca de 25 mil convites de grupo do Telegram: são links com o formato telegram.me/joinchat/XXXXX.
Leia | Como entrar em uma Comunidade do WhatsApp? Saiba enviar convites para adicionar participantes