Google + il “Click to chat” di WhatsApp (wa.me) = problema privacy?

Il pubblico ha un’insaziabile curiosità di conoscere tutto,
tranne ciò che vale la pena conoscere.”
Oscar Wilde

AGGIORNAMENTO
Dal 9 giugno 2020 sono stati de-indicizzati da Google tutti gli URL wa.me, pertanto quanto descritto non è più valido. Rimane tuttavia la potenziale vulnerabilità, che potrebbe essere stata indicizzata da altri motori di ricerca.

Cosa succede quando un motore di ricerca indicizza anche i link per le chiamate rapide di WhatsApp? Succede che basta una ricerca su Google (Google dork) per ottenere un bell’elenco di account WhatsApp, con tanto di numero telefonico, l’immagine del profilo e altro.

Click-2-Chat di WhatsApp è una comoda funzione messa a disposizione dalla popolare app di messaggistica instantanea per permettere agli utenti di entrare in contatto via chat semplicemente cliccando su un link pre-confezionato, anche senza avere il numero dell’utente salvato in rubrica.

Svariati siti web aziendali includono, nelle proprie pagine, un link tipo https://wa.me/1XXXXXXXXXX che, se cliccato, avvia una chat con il numero indicato.

Si tratta di informazioni messe a disposizione sul Web dai legittimi (si spera!) assegnatari del numero ma che, una volta finite nell’indice del motore di ricerca, si mostrano in tutta la loro drammaticità.

Nell’elenco, ho trovato scuole di parrucchieri, dentisti, farmacie, personal trainer…

Oltre alla possibilità di utilizzare questi numeri di telefono per inviare messaggi di spam, i dati che visualizzati (come la foto del profilo…) possono essere utilizzati per attacchi di ingegneria sociale o anche per scopi malevoli. Come ricorda il ricercatore di cybersecurity Athul Jayaram, che ha segnalato la problematica, “Today, your mobile number is linked to your Bitcoin wallets, bank accounts, credit cards…[allowing] an attacker to perform SIM card swapping and cloning attacks is another possibility“.

Se proprio avete la necessità di usare un numero di telefono per promuovere il Vostro business, anche usando link wa.me, consiglio di:

  • usare un numero ad-hoc esclusivamente per questo scopo. Non collegateci home banking, 2FA o altro;
  • usate una immagine del profilo che non possa fornire ulteriori indicazioni su di voi (es. va benissimo il logo aziendale, non il selfie con i figli);
  • non inserite informazioni sensibili nella descrizione (bene il motto aziendale, meno bene l’indirizzo fisico o altre informazioni);
  • tenete bene a mente che le chat sono un canale di comunicazione insicuro;

L’uso “leggero” che la piattaforma WhatsApp fa dei nostri numeri di telefono personali (ad esempio, mostrando i numeri di tutti i partecipanti a un gruppo) è tra i motivi che mi hanno indotto a scegliere piattaforme alternative, come Telegram. Questo episodio è solo l’ennesimo a conferma della bontà della scelta: ridurre la superficie di (cyber)attacco è importante quanto ricordarsi di chiudere a chiave la propria porta di casa.

Questo articolo è stato visto 1.404 volte (Oggi 1 visite)

Hai trovato utile questo articolo?

1 comment
  1. Buona sera. Finalmente. Dico finalmente, io che non capisco nulla di informatica, ho afferrato subito quanto esposto così semplicemente e chiaramente. Tanto che mi sento di affermare che è proprio quello che sta capitando a me ora.
    Apro un indirizzo di Google, trovato casualmente, (ma da tempo non credo più alle coincidenze), e cliccandolo si aprono tutte le mie chat WhatsApp. Non so se anche il resto del contenuto del cellulare sia accessibile, vorrei dire a cani e porci, ma amo gli animali, ben più degni di rispetto.
    Va da sé che non posso tollerare una cosa simile. E che la situazione va risolta. Alla fonte
    Grazie per l’utile lettura

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.