Peneliti keamanan siber menyatakan bahwa pengguna fitur WhatsApp’s Click to Chat dapat memunculkan nomor ponsel pribadi pengguna pada hasil pencarian Google.
Dilansir dari situs web Techradar.com, Click to Chat adalah fitur WhatsApp yang memungkinkan pengguna untuk memulai chat dengan seseorang tanpa harus menyimpan nomor orang tersebut di daftar kontak.
Selama pengguna mengetahui nomor telepon tujuan dan ia memiliki akun WhatsApp yang aktif, maka pengguna dapat membuat tautan yang akan memungkinkan pengguna untuk memulai obrolan dengannya.
Sebagai contoh, jika pengunjung situs e-commerce memiliki pertanyaan terkait produk, mereka dapat memindai kode QR untuk dapat masuk dan memulai sebuah percakapan di WhatsApp.
Menurut peneliti dan bug bounty Athul Jayaram, dengan memanfaatkan fitur ini, maka dapat menyebabkan nomor telepon pengguna terekspos dalam hasil pencarian Google. Hal ini dapat membuka akses ke segala macam penipuan dan serangan siber.
Platform perpesanan WhatsApp dikenal memiliki standar privasi data yang tinggi. Mereka menawarkan enkripsi end-to-end untuk semua pengguna. Namun, penemuan terbaru ini menunjukkan bahwa data pribadi mungkin tidak bersifat pribadi seperti yang dipikirkan pengguna.
Nomor pengguna akan terekspos oleh domain wa.me milik WhatsApp yang menyimpan metadata Click to Chat dalam rangkaian URL. Tidak ada tindakan untuk mencegah mesin pencari mengindeks metadata ini, angka-angka tersebut akan bocor ke hasil pencarian publik milik Google.
“Nomor ponsel pengguna terlihat dalam teks biasa di URL ini, dan siapa pun yang memegang URL dapat mengetahui nomor ponsel pengguna. Pengguna tidak dapat mencabutnya, ” jelas Jayaram.
“Ketika nomor telepon individu bocor, penyerang dapat mengirim pesan kepada mereka, menelepon mereka, bahkan menjual database nomor telepon mereka kepada para pengirim spam dan penipu.” tambah Jayaram.
Jayaram mengatakan telah menemukan 300 ribu nomor yang terhubung ke WhatsApp dan telah bocor melalui mekanisme ini. Dengan mengklik halaman web tidak akan mengungkap nama lengkap pengguna, tetapi mengungkapkan gambar profil WhatsApp mereka.
Setelah berhasil menemukan ini pada tanggal 23 Mei, Jayaram kemudian melaporkan masalah tersebut kepada pemilik WhatsApp yaitu Facebook melalui skema bug-bounty-nya. Facebook beralasan bahwa pengguna WhatsApp memiliki kendali penuh terhadap informasi yang ada pada profil mereka yang bisa dilihat oleh umum.
“Walaupun begitu, kami tetap menghargai laporan para peneliti serta waktu yang telah mereka luangkan untuk membagikan informasi tersebut kepada kami, tetapi hal itu tidak memenuhi syarat untuk mendapatkan hadia, karena hanya berisi indeks search engine dari URL yang dipilih pengguna WhatsApp untuk dipublikasikan,” kata juru bicara WhatsApp.
“Semua pengguna WhatsApp, termasuk bisnis, dapat memblokir pesan yang tidak diinginkan dengan ketukan tombol,” imbuhnya.
Jayaram menambahkan bagaimanapun ia percaya bahwa perusahaan tersebut harus lebih serius dalam menangani permasalahan ini, karena ruang lingkup serangan yang bisa diakibatkan oleh isu tersebut.
“Saat ini, banyak nomor ponsel pengguna yang terhubung dengan dompet Bitcoin, rekening bank, UPI, kartu kredit pengguna, dan ini akan memungkinkan penyerang untuk melakukan pertukaran kartu SIM dengan membuat kloning untuk melakukan serangan,” jelasnya.(na/hh)