WhatsApp expõe números de telefone de usuários na internet

Números de telefone cadastrados no WhatsApp estão expostos na internet. Segundo o autor da descoberta, “os números podem ser encontrados facilmente no Google” e sujeitam os portadores a golpes e participação de campanhas indesejadas.

Um recurso conhecido como “Click to Chat” está expondo números de telefone de usuários do WhatsApp na internet. A ferramenta permite pessoas criem links para iniciar uma conversa privada. Esse recurso se tornou especialmente útil para contas comerciais e delivery, já que é possível anexar um simples link à alguma página ou gerar um QR Code para agilizar o contato do cliente.

Athul Jayaram, autor e caçador de bug bounty, alega que essa ferramenta representa um grande risco aos usuários do mensageiro. Ele alerta que o endereço URL do “Click to Chat” expõe os usuários do WhatsApp à golpes, campanhas indesejadas e spam.

Isso se dá porque o endereço do link para chat rápido contém o número do usuário, considerando que é composto por um link padrão seguido do número de telefone (https://wa.me/<número>). Jayaram critica essa transparência e informa que ferramentas de pesquisa especiais podem encontrar todos os links criados até agora — que, além disso, não podem ser revogados.</número>

“Tudo normal” para o Facebook

Em resposta, o Facebook respondeu pelo WhatsApp e negou se tratar de uma brecha de segurança. A companhia conta que a ferramenta é pensada para agilizar a comunicação entre usuários do mensageiro e que as escolhas de privacidade do usuário são preservadas ao acessar o link.

Ou seja, se um usuário decide exibir sua foto de perfil somente para contatos, a escolha prevalecerá quando alguém desconhecido acessar o link. Portanto, não representa um grande risco para a comunidade, já que podem se proteger contra inconveniências com facilidade.

A recompensa de bug bounty de Athul Jayaram foi negada pela rede social. No primeiro momento, a companhia alegou que o WhatsApp não faz parte do programa de recompensas do Facebook. Logo depois, um porta-voz justificou a desclassificação da descoberta afirmando que os números se tornam públicos à pedido dos usuários e que eles “podem impedir o recebimento de mensagens indesejadas com um simples clique”.