Liputan6.com, Jakarta - Sebuah fitur yang ada di WhatsApp tampaknya bisa membuat nomor pengguna terekspos di hasil pencarian Google. Mengutip Tech Radar, Selasa (9/6/2020), fitur yang dimaksud adalah Click to Chat.
Informasi ini berdasarkan temuan yang baru diungkapkan oleh peneliti keamanan.
Advertisement
Baca Juga
Click to Chat adalah fitur di WhatsApp yang tidak banyak diketahui orang. Namun intinya, ia memungkinkan pengunjung dari sebuah situs web untuk bicara dengan pemilik web melalui layanan pesan, dalam hal ini WhatsApp.
Misalnya ketika pengunjung datang ke web iklan properti dan hendak menanyakan harga rumah, mereka bisa memindai kode QR untuk dimasukkan ke dalam percakapan WhatsApp dengan helpdesk yang relevan.
Namun menurur peneliti sekaligus bounty hunter Athul Jayaram, mengaktifkan fitur ini bisa membuat nomor telepon pengguna muncul di hasil pencarian publik.
Dampaknya, hal ini bisa memicu segala macam jenis penipuan dan serangan siber lainnya.
Informasi Pribadi Malah Jadi Tak Pribadi Lagi
WhatsApp memang dikenal menerapkan enkripsi end-to-end untuk semua pengguna. Namun, temuan terbaru dari peneliti keamanan ini memperlihatkan data pribadi mungkin tak lagi bersifat pribadi.
Temuan Jayaram mengindikasikan, nomor pengguna terekspos oleh domain "wa.me" milik WhatsApp. Domain ini menyimpan metadata Click to Chat dalam string URL Https://wa.me/<WhatsApp number>.
Karena nihilnya tindakan untuk mencegah mesin pencari mengindeks metadata ini, nomor pengguna pun bocor ke hasil pencarian Google yang bersifat publik.
"Nomor telepon Anda bisa terlihat dalam bentuk teks mentah di URL ini dan siapa pun yang membuka URL ini bisa mengetahui nomor telepon Anda. Anda tidak bisa mencabutnya," kata Jayaram memberikan penjelasan.
Dia mengatakan, "Ketika nomor telepon pribadi bodor, penyerang bisa mengirimkan pesan, menelepon, menjual nomor telepon ke marketer, spammer, atau scammer."
Advertisement
Temukan 300 Ribu Nomor Terekspos
Bersumber pada pencarian Google, Jayaram mengklaim telah menemukan 300.000 ribu nomor WhatsApp yang telah terekspos.
Mengklik ke laman web memang tidak mengungkap nama lengkap pengguna, tetapi gambar profil WhatsApp para pengguna bisa diketahui.
Setelah menemukan masalah ini pada 23 Mei lalu, Jayaram kemudian melaporkannya ke Facebook selaku pemilik WhatsApp, melalui program bug bounty.
Laporan Malah Ditolak
Laporannya ditolak dengan alasan pengguna WhatsApp memiliki pengawasan penuh terhadap informasi yang terlampir pada profil umum mereka.
"Kami mengapresiasi laporan dari peneliti, tetapi itu tidak memenuhi syarat untuk mendapat hadiah karena hanya berisi indeks mesin pencari dari URL yang dipilih pengguna untuk dipublikasikan," kata juru bicara WhatsApp.
Lebih lanjut, pihak WhatsApp menyebut, "Seluruh pengguna WhatsApp termasuk pengguna bisnis, bisa memblokir pesan yang tidak diinginkan dengan cara mengetap tombol."
Kendati demikian, Jayaram bersikeras, pihak WhatsApp harusnya lebih serius menangani masalah ini karena adanya ancaman kejahatan siber.
"Apalagi saat ini nomor telepon kita terhubung dengan dompet Bitcoin, akun perbankan, kartu kredit, dan semuanya memungkinkan bagi penyerang untuk melakukan SIM card swap dan mengkloning nomor telepon," kata Jayaram.
(Tin/Why)
Advertisement