Jangan Pakai Fitur WhatsApp Ini, Nomor HP Nyebar di Google
Pengguna yang tak ingin nomor ponsel tersebar di mesin pencarian Google tak disarankan menggunakan fitur WhatsApp "Click to Chat". Kebocoran ini ditemukan hacker bernama Athul Jayaram.
Click to Chat adalah fitur yang memungkinkan pengguna untuk melakukan chatting dengan seseorang tanpa harus menyimpan nomor ponsel di phonebook. Pengguna dapat membuat tautan yang akan akan memungkinkan dilakukan chatting. Dengan mengklik tautan tersebut, secara otomatis chat pribadi akan terbuka. Fitur ini tersedia dalam versi ponsel dan WhatsApp Web.
Athul Jayaram mengatakan memanfaatkan fitur ini akan membuat nomor ponsel pengguna tampi di hasil pencarian Google. Ini bisa menjadi pintu masuk hacker dan aktor jahat untuk melakukan penipuan, pembajakan akun WhatsAPp dan serangan siber.
Nomor pengguna akan terekspos oleh domain "wa.me" milik WhatsApp, yang menyimpan metadata Click to Chat. Karena tidak ada tindakan untuk mencegah mesin pencari mengindeks metadata ini, angka-angka tersebut bocor ke hasil pencarian publik.
"Nomor ponsel Anda terlihat dalam teks biasa di URL ini, dan siapa pun yang memegang URL dapat mengetahui nomor ponsel Anda. Anda tidak dapat mencabutnya, "jelas Athul Jayaram, seperti dikutip dari Techradar, Selasa (8/6/2020).
"Ketika nomor telepon individu bocor, aktor jahat dapat mengirim pesan kepada mereka, menelepon mereka, menjual nomor telepon mereka ke pengirim spam dan penipu."
Athul Jayaram mengklaim menemukan 300.000 nomor WhatsApp yang dipublikasikan melalui mekanisme ini. Mengklik tautan di web memang tidak mengungkap nama lengkap pengguna, tetapi mengungkapkan gambar profil WhatsApp mereka.
Setelah menemukan kebocoran ini pada 23 Mei, Athul Jayaram kemudian melaporkan masalah tersebut ke Facebook, pemilik WhatsApp, melalui skema bug-bounty.
Namun, temuan tersebut tak diakui, dengan alasan pengguna WhatsApp memiliki pengawasan penuh terhadap informasi yang terlampir pada profil mereka yang disediakan untuk umum.
"Meskipun kami menghargai laporan peneliti ini dan menghargai waktu yang ia ambil untuk membaginya dengan kami, itu tidak memenuhi syarat untuk hadiah karena hanya berisi indeks mesin pencari dari URL yang dipilih pengguna WhatsApp untuk dipublikasikan," kata juru bicara WhatsApp.
"Semua pengguna WhatsApp, termasuk bisnis, dapat memblokir pesan yang tidak diinginkan dengan mengetuk tombol."