WhatsApp點擊對話功能出包 30萬用戶電話號碼網上曝光
WhatsApp 點擊對話功能,被發現因沒有妥善加密,導致 30 萬用戶電話號碼外泄,甚至能在 Google 搜尋中找得到。所幸,該漏洞已正式修復。(黃慧雯制)
你是 WhatsApp 用戶嗎?爲了便利使用者,WhatsApp 提供了一個名爲「點擊對話」(Click to chat)的功能。讓你能在未將對方電話加入通訊錄的前提下,就與對方展開對話。但是因爲功能將電話號碼明列在網址中且沒有加密,導致竟被搜尋引擎索引,可能已有多達 30 萬筆電話號碼因此遭到泄漏。因電話號碼常用來進行網路服務的身分驗證,這些資料走漏的可能影響範圍恐超乎想像。
外媒報導,網路安全專家 Athul Jayaram 指出,WhatsApp 的點擊對話功能中存在 bug,導致多達 30 萬筆的電話號碼在網路上能輕易搜尋得到。WhatsApp 點擊對話功能,讓你可以透過「https://wa.me/」開頭的網址,加上你已知的電話號碼,就能在不將對方加入通訊錄的前提下,就與對方展開網路上的對談。但這項功能由於直接將電話號碼寫在網址之中,且沒有經過妥善加密,因此被 Google 搜尋引擎收入索引之中,導致在網路上只要透過 site:wa.me 就能輕鬆找到這些外泄的電話號碼。目前已知,遭到泄漏的電話號碼可能多達 30 筆,而較多的受害者來自美國、英國以及印度。
針對網路資安專家 Athul Jayaram 所發現的漏洞,WhatsApp 發表聲明指出,當初開發點擊對話功能的目的爲了替用戶帶來幫助。如今他們已經解決了某些用戶的電話號碼會出現在 Google 搜尋之中的問題;並對於 Athul Jayaram 提交的漏洞報告表示欣賞,感謝他所做的相關研究。針對 WhatsApp 用戶的電話號碼意外被 Google 搜尋引擎加入索引,能在網路上被搜尋到的情況,Google 也有提供協助,目前相關資料都已無法在網路上找得到。
《TechCrunch》網站指出,網路資安專家 Athul Jayaramn 所發現的問題,事實上在今年 2 月 WaBetaInfo 就已經發現,只是截至近期 WhatsApp 才終於修復了相關漏洞。WhatsApp 已經被社羣平臺龍頭 Facebook 所收購,目前歸屬 Facebook 旗下。
爲了防護個人資料外泄,以及外泄後可能會有網路帳號或是財產遭到威脅的疑慮。建議使用者若覺得有需要,也可以在 WhatsApp 中開啓雙重驗證功能,提升帳戶安全。也可以留意近期是否有收到來路不明的電子郵件或是訊息,並且避免進行點擊,以免誤入網路釣魚的陷阱。