Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Prywatne grupy WhatsApp…widoczne w Google

13 stycznia 2021, 14:55 | W biegu | komentarzy 5

WhatsApp ostatnio nie ma szczęścia. Na początku zaktualizował swoją politykę prywatności oraz regulaminy przestając udawać, że jest oddzieloną firmą od Facebooka. Wejdą one w życie 8 lutego 2021 r. i zakładają przekazywanie danych Facebookowi. Oliwy do ognia dolał Elon Musk, który jasno skierował swoich fanów z Twittera w stronę Signala. Dzisiaj okazuje się, że prywatne grupy komunikatora WhatsApp ponownie pojawiły się w wyszukiwarce Google.

Razem z grupami zostały zaindeksowane profile użytkowników i ich zdjęcia profilowe. W rezultacie każdy mógł pobrać te dane oraz dzięki wyraźnemu dostępowi do linków dołączyć do prywatnych grup WhatsApp i wyświetlić ich zawartość. Wszystko to za pomocą użycia odpowiedniego Google Dorka.  O zjawisku poinformował badacz bezpieczeństwa Rajshekhar Rajaharia. Nie jest to pierwszy taki incydent. W 2019 roku WhatsApp doświadczył czegoś podobnego – zostało to naprawione w zeszłym roku zanim problem się rozrósł. Pierwotny problem został rozwiązany poprzez dodanie metatagu “noindex” w linkach zapraszających do czatu oraz do grup. Jednak teraz sprawa polega zupełnie na czymś innym choć też jest powiązana z instrukcjami dla robotów indeksujących Google.

Według Rajaharii komunikator nie załączył plików robots.txt (pliku regulującego działanie robotów wyszukiwarek), szczególnie dla swojego interfejsu internetowego – chat.whatsapp.com. Pliku robots brakuje również dla subdomeny api.whatsapp.com, który zgodnie z raportem (podobnie jak dla zaproszeń do czatów grupowych) spowodował zaindeksowanie profili użytkowników w Google (ponad 5000 linków) umożliwiając każdemu skomunikowanie się z dowolnym użytkownikiem lub uzyskaniem dostępu do jego numeru komórki lub zdjęcia profilowego.

WhatsApp skomunikował się już z Google w tej sprawie i zaindeksowane dane nie są już widocznie z poziomu wyszukiwarki. Niestety w przesłanym oświadczeniu rzecznik komunikatora WhatsApp zasłaniania się tagiem “noindex”, który jak wiadomo był odpowiedzialny za pierwszy wyciek. Przypomina również, że za każdym razem, gdy ktoś dołącza do grupy, wszyscy w tej grupie otrzymują powiadomienie, a administrator grupy może w dowolnym momencie odwołać lub zmienić link z zaproszeniem do grupy. Niestety nie ujawniono, co było rzeczywistą przyczyną aktualnego problemu.

– Patryk Krawaczyński

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. robots.txt jako metoda ochrony??

    Przeciez posluchanie przez spidery/roboty dyspozycji umieszczonej w robots.txt zalezy tylko od dobrej woli spidera/robota.

    Wiec zabezpieczanie dostepu do jakiegos URL-a za pomoca _prosby_ do robota: „Nie pobieraj tego URL-a” jest gorzej niz naiwnoscia, bo np. komus robiacemu rekonesans dodatkowo podpowiada, ze tam moga byc „interesujace” dane i tym bardziej je pobierze.

    Ale moze nie zrozumialem tego artykulu…

    Odpowiedz
    • asbb

      robots.txt przydaje się jako dodatkowe zabezpieczenie w sytuacji, gdy użytkownik opublikuje tajny link np. na forum. robots.txt oczywiście nie zablokuje dostępu, ale uniemożliwi zrobienie (np. po domenie) listy takich linków zebranych przez Google.

      Odpowiedz
      • robots.txt jako metoda ochrony??

        Jesli dobrze rozumiem Twoj komentarz…
        robot Google’a chyba poslucha.
        Ale robotow sa pewnie setki i nie tylko nie musza posluchac, ale nieuczciwe roboty tym chetniej zindeksuja taki URL. A na pewno zajrzy pod ten URL kazdy rekonensansowiec.

        Cos jak zostawienie w drzwiach kartki: „Klucz jest pod wycieraczka ale prosze, nie bierz pieniedzy, ktore sa miedzy recznikami w trzeciej szufladzie w komodzie”.

        Odpowiedz
        • asbb

          Jeśli coś nie ma zostać zaindeksowane, to powinno być tak oznaczone. Nie można liczyć tylko na to, że robot nie trafi na dany link, bo prywatne linki mogą się gdzieś pojawić w sieci (czy to upublicznione przez nierozgarniętego użytkownika, złośliwie lub na skutek błędu). Oczywiście, że „zły” robot nie będzie się przejmować ograniczeniami i pozostaje liczyć, że będzie działać na znacznie mniejszą skalę niż Google (czy inne duże wyszukiwarki).

          Sam plik robots.txt niewiele ujawnia, bo będzie w nim tylko informacja, by nie zaglądać do katalogu /tajny-link/ a nie konkretnie /tajny-link/IEtwSVefRzT5glzt9Ufj1NhpZfsiSZ9RRhAS, więc to nie jest dużą wskazówką dla „złego” robota czy rekonensansowca.

          Odpowiedz
  2. Hhhhh

    Oby whatssup poszedł z torbami za ten wyciek

    Odpowiedz

Odpowiedz