1 min

WhatsApp-gebruikers die de functie Click to Chat in de app gebruikten, hebben waarschijnlijk zonder dit te weten hun telefoonnummer in de zoekresultaten van Google laten verschijnen. Het zou gaan om zo’n 300.000 telefoonnummers van WhatsApp-gebruikers wereldwijd.

Cybersecurity-expert Athul Jayaram ontdekte het probleem, nadat hij opmerkte dat Click to Chat een link genereerde waarin het telefoonnummer van de maker geen encryptie meekreeg. Dat in tegenstelling tot het scannen van een door WhatsApp gegenereerde QR-code, waarmee gebruikers elkaar kunnen toevoegen.

Het delen van een dergelijke Click to Chat-link (via bijvoorbeeld Twitter) zou betekenen dat Google bot de url kan vinden en opnemen in de zoekresultaten. Zelfs als de tweet later wordt verwijderd. Het gebruikte domein waarnaar wordt gelinkt (https://wa.me) zou namelijk geen robots.txt-file in de root hebben staan, waardoor bots als die van Google zonder problemen url’s kunnen overnemen.

Volgens Jayaram waren er op het moment van detectie al zo’n 300.000 accounts terug te vinden, waarbij in ieder geval een telefoonnummer ingezien kon worden. Afhankelijk van de instellingen in WhatsApp, kunnen ook volledige namen of profielafbeeldingen direct worden gezien.

Facebook (eigenaar van WhatsApp) patchte in eerste instantie een deel van het probleem, waarbij de wa.me-url uit de zoekresultaten werd gefilterd en bestaande resultaten werden verwijderd. Pas nadat er werd aangekaart dat api.whatsapp.com nog wél in de resultaten verscheen (inclusief telefoonnummers), werd een tweede fix uitgerold die ook dat probleem verhielp. De telefoonnummers worden inmiddels dus niet meer geïndexeerd.