WhatsApp expôs convites de grupos privados no Google
WhatsApp reconfigura convites de grupos privados para não aparecerem na busca do Google; app expôs links relacionados ao Brasil
WhatsApp reconfigura convites de grupos privados para não aparecerem na busca do Google; app expôs links relacionados ao Brasil
Aconteceu de novo: o WhatsApp voltou a expor convites para grupos privados na busca do Google, incluindo links relacionados ao Brasil. Após entrar neles sem precisar da autorização de um administrador, seria possível ver os participantes e seus números de celular, não só as mensagens. A empresa afirma que o problema foi resolvido.
A descoberta foi divulgada pelo pesquisador de segurança Rajshekhar Rajaharia e confirmada pelo Gadgets360. Uma busca por chat.whatsapp.com no Google retornava quase 2 mil resultados com links para entrar em grupos: os primeiros envolvem termos como “Concurso Novo Hamburgo”, além de uma loja de roupas de Santa Catarina.
O WhatsApp afirma em comunicado que todas as páginas de links diretos levam a tag “noindex” desde março de 2020, para que elas não sejam indexadas pelo Google, Bing ou qualquer outro mecanismo de busca.
No entanto, Rajaharia diz que “adicionar a tag ‘noindex’ não é uma solução adequada, pois os links surgem novamente nos resultados de pesquisa em alguns meses”. Uma alternativa é usar o arquivo robots.txt com regras para barrar o acesso de rastreadores.
No Twitter, o pesquisador também lembra que o WhatsApp permite que usuários gerem prévias de links ao enviá-los como mensagens através do aplicativo, inclusive de convites de grupo. Isso pode permitir que rastreadores (crawlers) do Google e de outros motores de busca identifiquem essas URLs e as indexem para pesquisas futuras.
Para ele, “grandes empresas de tecnologia como o WhatsApp deveriam procurar uma solução adequada se realmente estiverem preocupadas com a privacidade dos usuários”.
Em fevereiro de 2020, o WhatsApp expôs cerca de 470 mil links para entrar em grupos, porque ainda não incluía a tag “noindex”. Na época, a empresa se defendeu dizendo que “os links que os usuários desejam compartilhar em particular com pessoas que conhecem e confiam não devem ser publicados em um site acessível ao público”. No entanto, ela cedeu e removeu os resultados do Google.
Em junho do mesmo ano, o WhatsApp teve que reconfigurar 424 mil links porque eles incluíam números válidos de celular – 21,2 mil deles eram do Brasil. As URLs, que usavam o recurso “conversa em um clique” (click to chat), estavam visíveis no Google e outros sites de busca. Elas também receberam a tag “noindex” para não aparecerem mais nos resultados.