Waduh WhatsApp Bocor, Ternyata ini biang keroknya.
Senzangwarna.com-Praktisi keamanan siber Athul Jayaram menemukan 300 ribu nomor WhatsApp tersebar di mesin pencari Google. Setelah diselidiki ternyata kebocoran tersebut berasal dari fitur WhatsApp bernama Click to Chat.
Athul Jayaram mengatakan memanfaatkan fitur Click to Chat akan membuat nomor ponsel pengguna tampi di hasil pencarian Google. Ini bisa menjadi pintu masuk hacker dan aktor jahat untuk melakukan penipuan, pembajakan akun WhatsAPp dan serangan siber.
Nomor pengguna akan terekspos oleh domain “wa.me” milik WhatsApp, yang menyimpan metadata Click to Chat. Karena tidak ada tindakan untuk mencegah mesin pencari mengindeks metadata ini, angka-angka tersebut bocor ke hasil pencarian publik.
“Nomor ponsel Anda terlihat dalam teks biasa di URL ini, dan siapa pun yang memegang URL dapat mengetahui nomor ponsel Anda. Anda tidak dapat mencabutnya, “jelas Athul Jayaram, seperti dikutip dari Techradar, Selasa (8/6/2020).
Ketika nomor telepon individu bocor, aktor jahat dapat mengirim pesan kepada mereka, menelepon mereka, menjual nomor telepon mereka ke pengirim spam dan penipu.”
Mengklik tautan di web memang tidak mengungkap nama lengkap pengguna, tetapi mengungkapkan gambar profil WhatsApp mereka. Setelah menemukan kebocoran ini pada 23 Mei, Athul Jayaram kemudian melaporkan masalah tersebut ke Facebook, pemilik WhatsApp, melalui skema bug-bounty.
Namun, temuan tersebut tak diakui, dengan alasan pengguna WhatsApp memiliki pengawasan penuh terhadap informasi yang terlampir pada profil mereka yang disediakan untuk umum.
“Meskipun kami menghargai laporan peneliti ini dan menghargai waktu yang ia ambil untuk membaginya dengan kami, itu tidak memenuhi syarat untuk hadiah karena hanya berisi indeks mesin pencari dari URL yang dipilih pengguna WhatsApp untuk dipublikasikan,” kata juru bicara WhatsApp.
“Semua pengguna WhatsApp, termasuk bisnis, dapat memblokir pesan yang tidak diinginkan dengan mengetuk tombol.”
Click to Chat adalah fitur yang memungkinkan pengguna untuk melakukan chatting dengan seseorang tanpa harus menyimpan nomor ponsel di phone book. Pengguna dapat membuat tautan yang akan akan memungkinkan dilakukan chatting. Dengan mengklik tautan tersebut, secara otomatis chat pribadi akan terbuka. Fitur ini tersedia dalam versi ponsel dan WhatsApp Web.
Source.CNBBC Indonesia.
Sementara itu Tek.id menulis artikelnya
Seperti diketahui, fitur Click to Chat memungkinkan pengguna untuk membuat tautan dengan nomor telepon mereka dalam teks biasa. Menurut Jayaram, karena tautan tersebut tidak memiliki file robot.txt di root server, mereka tidak dapat menghentikan Google atau mesin pencari lainnya untuk menampilkan data tersebut di database pencarian.
Jayaram mengatakan sebanyak 300.000 nomor telepon kemungkinan sudah terlanjur muncul di hasil pencarian Google. Bahkan, dia mengatakan pengguna mesin pencari dapat memasukkan kueri “site: wa.me” untuk mencari nomor telepon yang bocor.
TechCrunch (10/6/2020) menyebut, Jayaram bukanlah orang yang pertama melaporkan masalah ini. WaBetaInfo sebelumnya telah menemukan masalah tersebut pada bulan Februari lalu.
Untungnya, pihak Facebook mengklaim sudah menambal masalah keamanan tersebut. Tapi, sementara masalah ini sudah diperbaiki, tetap saja hal ini adalah kelemahan keamanan yang cukup besar dan tampaknya sudah menjadi masalah selama setidaknya beberapa bulan.
Pihak Facebook pun berdalih bahwa nomor telepon yang ditemukan oleh Jayaram adalah data hasil cache lama. Data ini akan hilang sendirinya dikarenakan mesin pencari saat ini terus mengindeks ulang situs web dan menemukan tag tanpa indeks.
Senzangwarna.com/Nk
Source.CNBC Indonesia dan Tek.Id