El periodista de Deutsche Welle, Jordan Wildon, ya advirtió a principios de año que los enlaces privados de invitación para grupos de WhatsApp y Telegram podían estar disponibles en algunos motores de búsqueda. Y hace unos días, el investigador de seguridad Athul Jayaram descubrió una fuga de estos datos vinculada al dominio wa.me de WhatsApp.

Actualmente, WhatsApp permite a través del servicio «Click-to-Chat» crear enlaces con el formato: «https://wa.me/<teléfono&gt;» para usar la plataforma de mensajería instantánea con otros usuarios sin necesidad de almacenar previamente su número de teléfono en el móvil.

El problema residía en que algunos motores de búsqueda habían estado indexando estas direcciones, de modo que un usuario mal intencionado podía obtenerlas con una búsqueda simple del estilo: «site:wa.me +34«, o con cualquier otro prefijo internacional. Si bien con este método solo se podían obtener los números de teléfono pero no la identidad de los usuarios, al dar acceso a las imágenes de perfil, el atacante podría intentar una búsqueda de imagen inversa para obtener más información sobre la víctima, dado que no es demasiado infrecuente que un usuario use la misma imagen de perfil en varias redes sociales.

El mencionado dominio «wa.me» es un acortador de direcciones de «api.whatsapp.com«, y hasta ahora no estaban impidiendo la indexación en los motores de búsqueda. Por lo que los atacantes estaban en disposición de obtener números de teléfono de particulares a los que un atacante podría enviar mensajes, llamar o venderlos a estafadores.

Facebook fue informado por el investigador, pero no consideró el fallo de seguridad lo suficientemente relevante como para ser tenido en cuenta en su programa de recompensa de errores (Bug Bounty). El motivo alegado fue que se trataba de un listado de URLs que los usuarios de WhatsApp habían elegido hacer públicas, y que además, todos los usuarios pueden bloquear mensajes no deseados con solo tocar un botón.

El problema puede solucionarse simplemente con modificar el archivo robot.txt en los dominios implicados, lo cual parece que ya ha sido hecho.

Más información:

• https://securityaffairs.co/wordpress/104445/digital-id/google-indexed-whatsapp-numbers.html
• https://www.bleepingcomputer.com/news/security/whatsapp-telegram-group-invite-links-leaked-in-public-searches/