Cyberthreat.id - Mesin pencari Google memunculkan nomor WhatsApp di halaman hasil pencarian jika seseorang mencarinya di Google menggunakan kode negara.  

Temuan itu pertama kali diungkap oleh bug-bounty hunter Athul Jayaram seperti dilaporkan oleh threatpost.com pada 5 Juni lalu.

Menurut Jayaram, nomor telepon yang "bocor" itu sepertinya disebabkan oleh bug keamanan yang membahayakan privasi pengguna WhatsApp.

Nomor-nomor itu ketika diklik, langsung bisa terhubung ke nomor WhatsApp tanpa harus menyimpan nomornya di ponsel.

Nomor telepon terungkap sebagai bagian dari string URL https://wa.me/ .   Domain "wa.me" dimiliki dan dikelola oleh WhatsApp, menurut catatan WHOIS.

“Nomor ponsel Anda terlihat dalam teks biasa di URL ini, dan siapa pun dapat mengetahui nomor ponsel Anda. Anda tidak dapat mencabutnya, ”kata Jayaram.

Menurutnya, hal itu memudahkan spammer untuk mengumpulkan nomor telepon/WhatsApp untuk melakukan penipuan atau penyalahgunaan untuk tujuan tertentu.

"Ketika nomor telepon individu bocor, penyerang dapat mengirim pesan kepada mereka, menelepon mereka, menjual nomor telepon mereka ke pemasar, spammer, scammers," katanya.

Karena WhatsApp mengidentifikasi pengguna berdasarkan nomor telepon (berbeda dengan nama pengguna atau ID email), Pencarian Google hanya mengungkapkan nomor telepon, bukan identitas pengguna yang terhubung dengan mereka.

Namun, Jayaram mengatakan dia juga dapat melihat gambar profil pengguna di WhatsApp bersama dengan nomor telepon mereka, hanya dengan mengklik URL nomor telepon Google Search, yang membawanya ke profil WhatsApp mereka.

"Melalui profil WhatsApp, mereka dapat melihat foto profil pengguna, dan pencarian gambar terbalik untuk menemukan akun media sosial lainnya dan menemukan lebih banyak informasi tentang individu yang ditargetkan," katanya kepada Threatpost.

Menurut Jayaram, memasangkan nomor telepon dengan nama dan alamat bisa menjadi titik awal yang kuat untuk pencuri identitas.

"Sebagian besar pengguna memang menggunakan gambar profil yang sama di akun media sosial lainnya, profil pengguna juga bisa dengan mudah mengetahuinya," katanya.

Menurut Jayaram, banyak pengguna "Click to Chat" tidak menyadari bahwa nomor telepon mereka disimpan dalam format plaintext, diindeks oleh Google Search dan dapat ditemukan melalui permintaan pencarian yang relatif sederhana.

Jayaram bilang, dia mencoba menghubungi beberapa nomor yang muncul dan pemilik nomor itu menyatakan kekhawatiran bahwa nomor telepon mereka tersedia secara online dan diindeks oleh Google Search.

Threatpost juga menghubungi beberapa penguna WhatsApp yang nomornya muncul di Google Search. Beberapa mengatakan menyadari bahwa nomor itu digunakan untuk mempromosikan bisnis atau kontak pribadi mereka secara online.

Namun, ada juga yang tidak menyadari bahwa nomornya tersedia untuk publik.

"Tidak, saya tidak bermaksud membuat nomor saya tersedia secara publik. Saya mengatur WhatsApp untuk  bisnis saya sehingga orang-orang harus mengirim SMS langsung tanpa mendapatkan nomor WhatsApp saya," kata seorang pengguna yang dihubungi Threatpost.

Nomor Indonesia
Cyberthreat.id mencoba melakukan pencarian untuk nomor pengguna WhatsApp Indonesia di Google dengan memasukkan kata kunci "site:wa.me +62". Hasilnya, ditemukan ada 25.800 halaman yang memunculkan nomor WhatsApp. Dengan masing-masing halaman memunculkan 10 nomor, itu berarti ada 258 ribu nomor WhatsApp Indonesia yang terindeks di Google.

Cybertreat.id mencoba mengontak dua nomor yang muncul di pencarian itu. Salah satunya terhubung ke nomor milik sebuah perusahaan tour dan travel. Pemilik nomor mengatakan memang sengaja membuat nomor itu terlihat secara publik untuk kepentingan bisnisnya.

Tanggapan Facebook dan WhatsApp
Setelah menemukan hal itu pada 23 Mei lalu, Jayaram mengatakan dia telah menghubungi Facebook selaku pemilik WhatsApp dan melaporkan temuannya. Namun, Facebook menanggapinya dengan mengatakan bahwa penyalahgunaan data hanya ditanggung untuk platform Facebook, bukan untuk WhatsApp.

"Meskipun kami menghargai laporan peneliti ini dan, namun itu tidak memenuhi syarat untuk mendapat hadiah karena hanya berisi indeks mesin pencari dari URL yang dipilih pengguna WhatsApp untuk dipublikasikan. Semua pengguna WhatsApp, termasuk bisnis, dapat memblokir pesan yang tidak diinginkan," kata seorang juru bicara WhatsApp.

Awal tahun lalu, ratusan ribu tautan undangan untuk grup WhatsApp juga terekspose di Google Search.  Saat itu, pihak Google Search mengatakan bahwa situasinya sama seperti sebuah situs mengizinkan URL untuk terindeks secara publik. Namun, Google juga menawarkan tools yang memungkinkan sebuah situs memblokir konten agar tak terlihat secara publik.

Jayaram merekomendasikan agar WhatsApp mengenkripsi nomor ponsel pengguna, dan menambahkan file robots.txt untuk melarang bot merayapi domain mereka.

"Sayangnya mereka belum melakukan itu, dan privasi Anda mungkin dipertaruhkan," katanya.

"Hari ini, nomor ponsel Anda terhubung dengan dompet Bitcoin, rekening bank, UPI, kartu kredit ... [memungkinkan] penyerang untuk melakukan pertukaran kartu SIM dan serangan kloning dengan mengetahui nomor ponsel Anda adalah kemungkinan lain," tambahnya.[]