WhatsApp点击对话功能出包 30万用户电话号码网上曝光
WhatsApp 点击对话功能,被发现因没有妥善加密,导致 30 万用户电话号码外泄,甚至能在 Google 搜寻中找得到。所幸,该漏洞已正式修复。(黄慧雯制)
你是 WhatsApp 用户吗?为了便利使用者,WhatsApp 提供了一个名为「点击对话」(Click to chat)的功能。让你能在未将对方电话加入通讯录的前提下,就与对方展开对话。但是因为功能将电话号码明列在网址中且没有加密,导致竟被搜寻引擎索引,可能已有多达 30 万笔电话号码因此遭到泄漏。因电话号码常用来进行网路服务的身分验证,这些资料走漏的可能影响范围恐超乎想像。
外媒报导,网路安全专家 Athul Jayaram 指出,WhatsApp 的点击对话功能中存在 bug,导致多达 30 万笔的电话号码在网路上能轻易搜寻得到。WhatsApp 点击对话功能,让你可以透过「https://wa.me/」开头的网址,加上你已知的电话号码,就能在不将对方加入通讯录的前提下,就与对方展开网路上的对谈。但这项功能由于直接将电话号码写在网址之中,且没有经过妥善加密,因此被 Google 搜寻引擎收入索引之中,导致在网路上只要透过 site:wa.me 就能轻松找到这些外泄的电话号码。目前已知,遭到泄漏的电话号码可能多达 30 笔,而较多的受害者来自美国、英国以及印度。
针对网路资安专家 Athul Jayaram 所发现的漏洞,WhatsApp 发表声明指出,当初开发点击对话功能的目的为了替用户带来帮助。如今他们已经解决了某些用户的电话号码会出现在 Google 搜寻之中的问题;并对于 Athul Jayaram 提交的漏洞报告表示欣赏,感谢他所做的相关研究。针对 WhatsApp 用户的电话号码意外被 Google 搜寻引擎加入索引,能在网路上被搜寻到的情况,Google 也有提供协助,目前相关资料都已无法在网路上找得到。
《TechCrunch》网站指出,网路资安专家 Athul Jayaramn 所发现的问题,事实上在今年 2 月 WaBetaInfo 就已经发现,只是截至近期 WhatsApp 才终于修复了相关漏洞。WhatsApp 已经被社群平台龙头 Facebook 所收购,目前归属 Facebook 旗下。
为了防护个人资料外泄,以及外泄后可能会有网路帐号或是财产遭到威胁的疑虑。建议使用者若觉得有需要,也可以在 WhatsApp 中开启双重验证功能,提升帐户安全。也可以留意近期是否有收到来路不明的电子邮件或是讯息,并且避免进行点击,以免误入网路钓鱼的陷阱。