Locked Problemas de privacidad de WhatsApp con Google y Bing

[dEEpEst]

Credits: MALIGNO

 

 

La verdad es que de entre todas las formas posibles de espiar WhatsApp, estos problemas de indexación de WhtasApp en los buscadores Google y Bing son una gota de agua en un océano, pero aún así sirven para ilustrar cómo las fugas de información con datos de tu vida personal pueden estar en cualquier rincón inesperado.

 

Aprovechando que había estado mirando los problemas de indexación de Facebook en Google y Bing, quise comprobar cuántos otras empresas grandes estaban teniendo situaciones de confusión similares. Como ya expliqué en aquel artículo, el que haya que usar etiquetas X-Robots-tag en los servidores web, etiquetas Meta en las págginas HTML, los ficheros robots.txt y una cuenta de cada uno de los buscadores para pedir que elimine los documentos que se han indexado por error, me parece lo suficientemente confuso como para que muchas empresas tengan problemas con ello. Y lo he querido probar con WhtasApp.

 

This is the hidden content, please

• Sign In
• or
• Sign Up

Figura 1: El fichero robots.txt de WhatsApp.com

 

Como se puede ver, en el fichero robots.txt de WhatsApp no hay mucho que rascar, pero aparecen dos URLs prohibidas lo suficientemente jugosas como para darle un vistazo a las URLs que se hayan quedado indexadas en los buscadores de alguna forma.

 

This is the hidden content, please

• Sign In
• or
• Sign Up

Figura 2: El patch indexado en Google

 

De la URL de Android/Third_party no hay más que un patch con no demasiada información en él, pero ahí está, indexado en Google. De la siguiente URL sí que hay más jugo. Si buscamos por URLs con la ruta payments aparecen bastantes de ellas, y como se puede ver, muchas tienen el parámetro phone con el número de teléfono de la persona que acaba de comprar la app.

 

This is the hidden content, please

• Sign In
• or
• Sign Up

Figura 3: Rutas de payments con números de teléfono

 

Si miramos el código fuente de cksum_pay vemos que no hay ninguna meta para evitar el cacheo de las páginas ni la indexación de las URLs, por lo que todos estos datos, cuando Google o Bing los indexan, quedan guardados en la base de datos.

 

This is the hidden content, please

• Sign In
• or
• Sign Up

Figura 4: Datos de campos hidden de cksum_pay.php

 

Si revisamos el resto de URLs que aparecen dentro de la ruta payments del servidor web de WhatsApp, vemos que hay alguna de compra de una extensión del servicio, en la que se puede acceder también al número de teléfono de la persona que ha hecho la compra de dicho servicio.

 

This is the hidden content, please

• Sign In
• or
• Sign Up

Figura 5: Datos de una compra de extensión de servicio

 

Por supuesto, como el mensaje de saludo y la fotografía son datos públicos en los servidores de WhatsApp, y sabiendo que este número ya tenía Whatsapp de antes, he hecho como con los teléfonos de las páginas de contactos adultos, y he ido a buscar a la persona que tenía su número indexado. Y ahí está.

 

This is the hidden content, please

• Sign In
• or
• Sign Up

Figura 6: Perfil Whatsapp de la persona indexada en Google

 

En definitiva, creo que toda esta arquitectura de robots, metas y demás parches para controlar lo que se debe indexar o no en los buscadores de los sitios es un poco lioso y puede generar problemas a muchas grandes empresas que no hayan tenido en cuenta eso, que esa URL que envias a tus clientes puede ser tu perdición. En este caso son pequeños detalles de la privacidad de los usuairos de WhtasApp, pero viendo el interés que tiene todo el mundo en la seguridad de Whatsapp, probablemente pueda ser aprovechado por alguien de alguna manera...