Um dos aplicativos mais baixados da internet, o WhatsApp é um verdadeiro sucesso no Brasil, ainda que ele constantemente seja alvo de roubo de contas em sites de compras. Hoje a notícia é sobre uma quebra enorme de privacidade nos grupos do aplicativo, que foram expostos no Google de forma que qualquer um possa entrar neles.
A questão é que a URL de desses grupos foi exposta na pesquisa do Google pelo WhatsApp. URL é o link para entrar nesses grupos via convite, o administrador dos grupos não tem poder para recusar os convites, apenas de remover o link. A falha foi descoberta por Jordan Wildon, jornalista da Deutsche Welle, que encontrou cerca de 470 mil links de grupos no Google.
Para descobrir essa falha, Jordan utilizou uma ferramenta de monitoramento de redes sociais chamada CrowdTangle no WhatsApp Web. Para encontrar os grupos no Google não é preciso ser especialista em tecnologia, basta buscar por “site:chat.whatsapp.com” e os resultados aparecem. Isso poderia ser impedido com uma configuração no site do WhatsApp Web, que depende exclusivamente da empresa do Facebook.
Só no Google Brasil, são mais de 450 mil resultados, embora alguns deles sejam duplicados por serem indexados repetidamente pela pesquisa. Se pensarmos bem, não é uma violação direta de dados, porém, um administrador espera que o link seja acessível para um certo número de pessoas, não publicamente como está ocorrendo agora.
Como se a situação não fosse ruim o suficiente, os links de grupos estão aparecendo no feed do Google como se fossem notícias relevantes, o que os expõe até mesmo por quem não sabe dos vazamentos, segundo Matt Pratta, desenvolvedor do site Tecnoblog.
É importante dizer que o WhatsApp mostra o seguinte texto na seção de ajuda sobre os links de grupos:
“Lembre-se que uma pessoa pode encaminhá-lo para outras pessoas; nesse caso, essas outras pessoas poderão entrar no grupo sem precisar da aprovação do admin.”
Assim, fica claro que grupos do WhatsApp não são o lugar mais privado da internet, nem de longe. Mesmo assim o WhatsApp, que é do Facebook, poderia se configurar de várias formas, algumas simples, para que o site não não fosse indexado na pesquisa.
Grupos do WhatsApp e Telegram já estavam vulneráveis
Wilson ainda alerta que os grupos poderiam ser descobertos a qualquer momento mesmo sem o Google ter os indexado:
“Qualquer link de grupo compartilhado fora de mensagens privadas e seguras pode ser encontrado e ingressado com relativa facilidade.”
O processo é relativamente simples: basta entender como as URLs dos grupos funcionam, afinal, elas sempre têm o mesmo formato: “chat.whatsapp.com/XXXXX”, onde o XXXXX é uma sequência de letras e números, assim, é possível digitar isso no navegador e tentar adivinhar qual a combinação que leva ao convite do grupo desejado, que em algum momento vai ser a URL de um convite.
Grupos do Telegram também estão vulneráveis: 25 mil deles foram indexados pelo Google com o formato ” telegram.me/joinchat/XXXXX”.