Fue hace tan solo unos días, cuando salía a la luz en la mayoría de los medios la noticia, de que WhatsApp estaba publicando los teléfonos de miles de sus usuarios. Y que era tan fácil encontrarlos como una simple búsqueda en Google. Poco tiempo después, también descubrimos que Telegram tenía un problema similar. Tan solo unos días después ya tenemos respuesta por parte de ambos.
En este artículo de Medium del 6 de junio, Athul Jayarum publicó sus descubrimientos iniciales sobre unos dominios que fueron indexados en las búsqueda de Google: https://wa.me y https://api.whatsapp.com.
Para quien no los conozca, son los subdominios que está comenzando a usar WhatsApp para compartir tu teléfono con otras personas a través de un código QR y estaban siendo publicadas en Google. Lo que permitía a cualquiera, haciendo una simple búsqueda en Google encontrar teléfonos de gente y comenzar a chatear con ellos directamente a través de WhatsApp.
¿Cómo funcionaba?
El funcionamiento era tan simple como eficaz. Buscabas “site:wa.me +34” en Google y automáticamente tenías una lista de teléfonos españoles listos para chatear. Ahora mismo, lo puedes intentar, pero parece que lo han solucionado y el resultado está vacío:
Como curiosidad, según el propio Jayaram, se había puesto en contacto con Facebook para ver si la empresa ofrecería una recompensa por encontrar un error de abuso de datos en WhatsApp, pero se decepcionó cuando respondió que no lo harían. Con una base de usuarios de más de 2.000 millones, el investigador argumenta que debería ser recompensado por señalar un fallo tan evidente.