In passato, WhatsApp ha già conosciuto dei problemi in tema di privacy, per lo più riguardanti i gruppi, come nell’Agosto 2018, quando si palesò il pericolo di manipolazione delle conversazioni collettive, e nel Febbraio scorso, quando emerse come Google indicizzasse, prima che Menlo Park corresse ai ripari, i gruppi creati nella celebre chat-app di verde vestita. Il nuovo problema per la riservatezza dei dati, questa volta, riguarda – però – le singole persone.
Nello specifico, WhatsApp da tempo è fornita della feature “Click to Chat” che permette di chattare con utenti non presenti nella propria rubrica: tale opzione, sovente, viene adoperata anche dai siti web, mediante sistemi “embedded”, per consentire ad un utente di chattare su WhatsApp con un’azienda, previa pressione di un pulsante o scansione di un codice QR, senza doverne prima salvare il numero in locale.
Il problema, secondo quanto appurato dal ricercatore indipendente Athul Jayaram, è che la feature “Click to Chat” finiva per creare degli url, del tipo “https://wa.me/numerodelcellulare”, inclusivi di un dato molto importante, il numero di telefono, che veniva poi indicizzato da Google tra i risultati di ricerca, finendo con il diventare pubblico, alla portata di tutti.
In conseguenza di questo bug, risultano finiti in Rete qualcosa come 300 mila numeri di telefono, che gli hacker possono adoperare per truffe, spam, sottoscrivere abbonamenti, ma anche per risalire all’identità precisa dell’intestatario: in tal senso, una piccola indagine permette, cliccando su uno degli url menzionati, di visualizzare l’immagine dell’utente che, salvata, via reverse search (es. con TinEye), può portare ad un profilo social dell’utente coinvolto (magari su Linkedin o Facebook).
Secondo quanto rendicontato da Jayaram, Facebook è stata messa al corrente del problema a fine Maggio (il 23), mediante il suo programma per cacciatori di bug, dal quale però non è giunto alcun riconoscimento, essendo focalizzato sui problemi del social network in blu: non risulta essere andata meglio con gli sviluppatori di WA, i quali hanno reso noto come risolvere tale bug, noto da tempo, non sia un’attuale priorità.