Google搜尋可以找到30萬筆WhatsApp用戶電話號碼

印度獨立安全研究人員Athul Jayaram近日揭露，他發現利用Google搜尋，就可以找到2.9萬筆到3萬筆的WhatsApp用戶電話號碼，而問題則出在於WhatsApp的點擊對話（click to chat）功能。

WhatsApp雖然是以電話號碼作為註冊依據，但新增好友時不一定要提供電話號碼，而是只要掃描QR code即可。然而，WhatsApp特別替網站或商家設計的點擊對話功能，則是透過[https:]//wa.me/產生一個含有電話號碼的連結，使用者只要點選該連結，就會開啟WhatsApp，並可傳訊給對方或是與對方通話。

Jayaram指出，一來該連結並未加密，因此使用者從連結中就能看到明文的電話號碼，若是大量分享連結，曝光的範圍就更大了；二來並未在伺服器上建立禁止Google或其它搜尋引擎索引該站內容的robots.txt 檔案，因而讓搜尋引擎得以爬梳並索引這些電話號碼。

於是，當在Google上執行特定的搜尋字串時，就會出現大量的WhatsApp電話號碼，點選相關的連結，即可透過WhatsApp與對方傳訊或通話，當然也可直接傳送簡訊至該電話號碼，此外，若加上國碼，也可將搜尋範圍縮小至特定國家，也許是台灣使用WhatsApp的人數不多，當加入+886進行搜尋時，只出現3筆結果。

由於WhatsApp為臉書的子公司，因此Jayaram企圖透過抓漏獎勵專案聯繫臉書，但臉書則說該專案並未涵蓋WhatsApp。Jayaram在6月7日對外公開了此一臭蟲，而今日（6/8）依然可透過Google找到大量的WhatsApp用戶電話號碼。

Jayaram表示，使用者的電話號碼可能連結了加密錢包、銀行帳號或信用卡，並讓駭客有機可趁，而WhatsApp其實只要加密連結中的電話號碼，或建立robots.txt就能預防此事了。

WhatsApp爆資安漏洞！專家在Google搜尋到30萬筆用戶手機號碼

手機通訊軟體WhatsApp被網路安全專家發現安全漏洞，只要在Google簡單輸入特定連結，就可以搜尋到大約30萬個用戶號碼，甚至查詢到用戶頭像與聊天內容，WhatsApp已經在昨(10)日修正疏失。

印度工程師Athul Jayaram於7日在個人部落格表示，發現WhatsApp的資安漏洞。WhatsApp開放「點擊對話」(Click to chat)的功能，讓你能在未將對方電話加入通訊錄的前提下，就與對方開始聊天。WhatsApp設定個人連結時，以為開頭，再直接加上用戶手機號碼，卻未經加密保護。只要在Google搜尋引擎打上「site:wa.me」，再輸入不同國碼，就會跑出用戶資料，甚至連用戶的頭貼、聊天內容都被搜尋引擎找到。

Jayaram在部落格中示範，使用這個搜尋方法測試，分別輸入美國、印度、英國的國碼，大約跑出30萬筆用戶資料。有心人士可能使用這種方法，大量的騷擾WhatsApp用戶。

WhatsApp這項疏失早在2月就曾在推特上被WABetainfo發現，但是Jayaram在10日才更新資訊表示，在Google的協助下，WhatsApp已經排除這項漏洞，最後總計撤除了40多萬筆資料。