WhatsApp svela a Google i numeri di telefono degli utenti | Risposta ufficiale

09 Giugno 2020 186

Alcuni numeri di telefono collegati a WhatsApp possono trapelare sul Web perché il sito ufficiale è indicizzato da Google. È dovuto a una funzionalità di WhatsApp stessa; il ricercatore che l'ha scoperta l'ha segnalata alla società, che però non la considera una falla di sicurezza. Volendo fare i proverbiali avvocati del diavolo, è vero che il numero di telefono non è associato ad alcun altro dato personale che possa identificarne il proprietario - né nomi né eventuali messaggi, per esempio.

Il fenomeno occorre quando l'utente usa la funzione chiamata Clicca per chattare, rilasciata verso l'inizio dell'anno: sostanzialmente genera un link di invito a una chat con l'utente. Serve per comunicare con le persone il cui numero non è in rubrica, e quindi non rilevato da WhatsApp. Il sistema sfrutta un sito Web con URL molto corto, ovvero wa.me, per renderne più semplice la condivisione. Il problema è che questo dominio non è criptato né schermato contro l'indicizzazione di Google, quindi se si fa una ricerca su wa.me, inserendo semplicemente sul motore di ricerca la stringa:

site:wa.me

si vedono di fatto tutti i link di invito a gruppi pubblici creati con questo sistema. Come dicevamo, l'unica informazione che si può evincere è che l'utente con un determinato numero di telefono ha creato un gruppo pubblico. Cliccando sui risultati di ricerca si viene reindirizzati all'invito, niente di più.



Come dicevamo, è vero che non si rischia di essere identificati in alcun modo attraverso questa funzione: ma la falla espone gli utenti a diversi tipi di abuso. Un truffatore può raccogliere grandi quantitativi di numeri di telefono (e di link per chattare con loro direttamente!) in pochi passaggi, e inviare link fraudolenti o virus (immaginatevi che pasticcio un uso in concomitanza con bug di questo tipo, per esempio).

I responsabili di WhatsApp hanno commentato il "problema" affermando che, pur apprezzando il lavoro svolto dal ricercatore, non possono valutarlo per un premio in quanto viene segnalato "semplicemente un indice del motore di ricerca degli URL che gli utenti di WhatsApp hanno scelto di rendere pubblici". Si legge ancora: "Tutti gli utenti di WhatsApp, comprese le aziende, possono bloccare i messaggi indesiderati con il semplice tocco di un pulsante".

Nonostante questo, pare che WhatsApp abbia disattivato l'indicizzazione di Google per evitare che si ripetano casi analoghi.

NOTA: articolo aggiornato il 9 giugno con la risposta di WhatsApp.


186

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Srnicek

Il primo punto lo avevo immaginato, in realtà a me sembra che Telegram abbia memorizzato i contatti in rubrica di quando mi sono iscritto mesi (anni?) fa e non abbia registrato le modifiche successive, almeno per quanto riguarda i contatti eliminati.
Per il secondo punto non posso escludere che la persona avesse il mio contatto in rubrica, non pensavo però che mi comparisse la notifica anche se altri hanno il mio numero in rubrica, forse è una cosa dovuta alla modifica avvenuta a Settembre che dicevi.

qandrav

ehehehe purtroppo c'è ancora

qandrav

colpa dei geni che hanno caricato la propria rubrica...

SteDS

Dal titolo sembrava tutt'altro, stavolta Google non c'entra e non c'è alcun accordo strano, se whatsapp non oscurava i link generati qualsiasi motore di ricerca poteva indicizzarli.
P.S. Non è un problema poi corrono subito ai ripari, sempre affidabilissimi quelli di Facebook :D

Ma io ho capito che creando questi link che portano alle chat di whatsapp, i numeri di li crea vengono indicizzati da google perché alla fine è un dominio pubblico non criptato

Darkat

Whatsapp mette i link di gruppi publici dentro della pagine web aperte e non critate, su server pubblici, Google indicizza tutto quello che è pubblico, ergo non hanno fatto niente di strano, sono quelli di Whatsapp ad essere pessimi

Darkat

"...ma Whatsapp almeno è più sicuro..."

Marco

Flame a gogo

Harry

Follia, non si trova nome e cognome automaticamente ma si può inviare malware a colpo sicuro... Azzolina serve la crittografia cosmica a 2056bit e poi lasciare un ****** così?

uncletoma

Boh, magari ricordo male, comunque basta mettere Nessuno e, poi, solo i contatti.

andrew

Probabilmente il contatto era sincronizzato ancora nella rubrica di Telegram.
Per il contatto LinkedIn... può essere che stavi nella sua rubrica? Se non erro, quando ti registri e sincronizzi i contatti viene inviata una notifica agli stessi

reft32

cosa vorresti dire, non è meglio ?

Linkz

Bill Gates - Jeff Bezos -Jack Ma - Mark Zuckerberg - Eric Schmidt - Tim Cook: il mondo appartiene a loro

Tiwi

solita risposta alla facebook

Srnicek

Scusate se mi intrometto nella discussione ma avrei bisogno di un chiarimento sui contatti di Telegram, avete presente quando compare il messaggio "tizio caio si è unito a Telegram"? Bene, perché me lo fa anche con persone che non ho più in rubrica da diverso tempo? Inoltre, cosa successa di recente, perché mi ha notificato anche una persona che non ho mai avuto in rubrica ma soltanto su Linkedin?

Srnicek

Ma esiste ancora SyncMe? Lo usavo ai tempi dell'S2!

Dark!tetto

Ah Gerry Scotti, grazie per aver contribuito in buona parte a rendere possibile questo grande progetto, insieme a tutti i colleghi del tuo stesso calibro, da Bonolis a Enrico Papi, da Barbara d'urso a Maria DeFilippi. Grazie per aver reso molto più facile abbandonare la TV del tutto e fare da lassativo nei momenti peggiori !

Dark!tetto

Se intendi l'accesso vero e proprio al database di numeri la risposta è no, semplicemente essendo pubblico come dominio viene indicizzato, ma non c'è alcun accesso "strano"

xpy

Qui puoi trovare informazioni interessanti
https://support. google .com/webmasters/answer/70897?hl=it

istricerotto

Simpatico e preparato. Ma non sopporto la sua pignoleria e quando fa quella vocina stridula del caxxo. Per il resto è piacevole.

Sì, quello l'ho capito... ma non capivo come faceva Google ad avere quei numeri o link a quel indirizzo.

Ora ho capito: sono i numeri di telefono pubblici, ovvero numeri di telefono che sono già sul web. Quindi, se non é Google a prelevarli, é un qualsiasi altro bot. Come fanno per gli indirizzi email (se lo inserisci sulla tua pagina web senza protezione, te la vai a cercare lo spam...).

no, non capisci ancora...

Fa finta di essere google, se riesci a farlo...

Se (non ora, ma 1 giorno fa) aprivi quel link, non avevi accesso a tutti quei numeri no? Indicizzare vuol dire seguire dei link che ti riportano a numeri di telefono. non sono tutti visibili sulla pagina principale. Io mi chiedo come Google sia arrivata a tutte quelle pagine web con i vari numeri di telefono...

Aster

meno male venerdi cambio nr:)

ErCipolla

Qualcuno che usa il servizio e che ha il tuo numero in rubrica ha consentito la pubblicazione (dovrebbe essere illegale per quel che mi riguarda, ma tant'è...)

LordRed

Ma come è stata calcolata questa probabilità?

matteventu

Io ho il tuo numero in rubrica salvato come "Moveon (Disqus)".
Mi registro a SyncMe e durante la registrazione gli dò accesso al mio account Google, inclusi tutti i contatti che ho salvati.
Loro salvano i miei contatti sui loro server.
Quando qualche altro utente cerca il tuo numero, viene fuori che è di Moveon (Disqus).

Questo flag è selezionato di default quando ti registri:
https://uploads.disquscdn.c...

matteventu

Io ho il tuo numero in rubrica salvato come "Moveon (Disqus)".
Mi registro a SyncMe e durante la registrazione gli dò accesso al mio account Google, inclusi tutti i contatti che ho salvati.
Loro salvano i miei contatti sui loro server.
Quando qualche altro utente cerca il tuo numero, viene fuori che è di Moveon (Disqus).

Moveon0783 (rhak)

Come cavolo fa Sync a conoscere i nomi?

qandrav

perché qualche testa di c4zzo che conosce il tuo nome cognome e numero ha caricato la rubrica su fb o su sync

Il fatto che tu compaia con nome e cognome è un indizio che la persona non sia un tuo amico/parente ma più un contatto di lavoro

io avevo trovato il mio numero associato solo al nome scritto fra parentesi..
puoi comunque richiedere a sync di eliminare il tuo contatto

L'hanno già rimosso.. Comunque c'è lo screeshot nella notizia come esempio

xpy

È stato già rimosso

Gas_T_one

https://uploads.disquscdn.c...

Povero Gerry

no, non hai capito...
io se apro quel link, non vedo i numeri di telefono... Tu si?

Gli short link wa. me, è un dominio pubblico e google può indicizzarlo tranquillamente come un sito normale

Aristarco

se mi giri il numero di c.credito ti rispondo io

Trovato!

Moveon0783 (rhak)

Non capisco tutto ciò cosa c’entra con le battute su Salvini. Cioè, tu pensi che a Salvini freghi nulla di quanto hai scritto? Tu pensi che lui sia la soluzione? Ma tu esattamente dove hai vissuto in questi anni? La Lega bossiana è stata al governo quasi ininterrottamente per vent’anni, quella salviniana lo era fino all’anno scorso, ma il suo governo ha preferito farlo cadere per monetizzare in delle elezioni che fantozzianamente non sono arrivate, anziché realizzare quello che predica nelle sue battaglie. L’unica genialata che ha realizzato è un decreto sicurezza che la Lega stessa viola quotidianamente nella sua campagna elettorale permanente.
Cioè, esattamente, di cosa stai parlando?

Meglio Telegram.

Aspetto chi dice che é meglio Telegram....

Infatti solo un fesso può credere che rispetti la privacy. Visto che Google genera e inoltra tutti i numeri ID generati "a casa" sua.
Gli unici a non avere quei dati sono le aziende che operano su suolo europeo. Mentre Google e Apple prelevano tutte le informazioni e le inoltrano... Sia chiaro... completamente anonimo! Solo indirizzo di casa, info sugli access points, gps, contatti, distanza tra i contatti e dove sono avvenuti.... Ma assolutamente non il nome di chi attiva il servizio.

La domanda più che altro é questa: che link ha seguito google per arrivare a quei numeri di telefono? Per essere indicizzati, deve per forza aver avuto accesso a qualche pagina con gli utenti e i loro numeri di telefono, no?

andrew

Come ti ha detto anche uncletoma, se imposti l'opzione "I miei contatti" a "chi può trovarmi con il numero", risulti inesistente a sconosciuti che provano ad aggiungere il tuo numero ai contatti di Telegram

asd555

Gerry Scotti mi pare un pedofilo o un maniaco sessuale.

anche a me piace Gerry

asd555

Lo adoro, lol, uno dei migliori.

io ho il numero di Gerry Scotti. Me lo ha dato Davide Puato

BRTsenzaimpegno

Perchè mi trova il mio numero compreso nome e cognome e se metto altri numeri di alcuni amici non mi ha trovato nulla?? mi sto preoccupando....

TalpaGamer99

Che vergogna Athul Jayaram ha salvato la privacy di noi tutti abitanti del globo e non è stato premiato per questo.

qandrav

Dal numero non potete risalire al nome...
Poi aprite sync.me e nel 90% dei casi trovate nome (e magari pure il cognome)

Recensione Sony Xperia 1 II: tra eccellenze e black out

La carica degli Snapdragon 765: sono gli smartphone del momento | Video

Recensione LG Velvet: il nuovo design ci piace ma serve un rinnovamento software

Recensione Huawei P30 Pro New Edition: può ancora dire la sua