Google + il “Click to chat” di WhatsApp (wa.me) = problema privacy?

Il pubblico ha un’insaziabile curiosità di conoscere tutto,
tranne ciò che vale la pena conoscere.”
Oscar Wilde

AGGIORNAMENTO
Dal 9 giugno 2020 sono stati de-indicizzati da Google tutti gli URL wa.me, pertanto quanto descritto non è più valido. Rimane tuttavia la potenziale vulnerabilità, che potrebbe essere stata indicizzata da altri motori di ricerca.

Cosa succede quando un motore di ricerca indicizza anche i link per le chiamate rapide di WhatsApp? Succede che basta una ricerca su Google (Google dork) per ottenere un bell’elenco di account WhatsApp, con tanto di numero telefonico, l’immagine del profilo e altro.

Click-2-Chat di WhatsApp è una comoda funzione messa a disposizione dalla popolare app di messaggistica instantanea per permettere agli utenti di entrare in contatto via chat semplicemente cliccando su un link pre-confezionato, anche senza avere il numero dell’utente salvato in rubrica.

Svariati siti web aziendali includono, nelle proprie pagine, un link tipo https://wa.me/1XXXXXXXXXX che, se cliccato, avvia una chat con il numero indicato.

Si tratta di informazioni messe a disposizione sul Web dai legittimi (si spera!) assegnatari del numero ma che, una volta finite nell’indice del motore di ricerca, si mostrano in tutta la loro drammaticità.

Nell’elenco, ho trovato scuole di parrucchieri, dentisti, farmacie, personal trainer…

Oltre alla possibilità di utilizzare questi numeri di telefono per inviare messaggi di spam, i dati che visualizzati (come la foto del profilo…) possono essere utilizzati per attacchi di ingegneria sociale o anche per scopi malevoli. Come ricorda il ricercatore di cybersecurity Athul Jayaram, che ha segnalato la problematica, “Today, your mobile number is linked to your Bitcoin wallets, bank accounts, credit cards…[allowing] an attacker to perform SIM card swapping and cloning attacks is another possibility“.

Se proprio avete la necessità di usare un numero di telefono per promuovere il Vostro business, anche usando link wa.me, consiglio di:

  • usare un numero ad-hoc esclusivamente per questo scopo. Non collegateci home banking, 2FA o altro;
  • usate una immagine del profilo che non possa fornire ulteriori indicazioni su di voi (es. va benissimo il logo aziendale, non il selfie con i figli);
  • non inserite informazioni sensibili nella descrizione (bene il motto aziendale, meno bene l’indirizzo fisico o altre informazioni);
  • tenete bene a mente che le chat sono un canale di comunicazione insicuro;

L’uso “leggero” che la piattaforma WhatsApp fa dei nostri numeri di telefono personali (ad esempio, mostrando i numeri di tutti i partecipanti a un gruppo) è tra i motivi che mi hanno indotto a scegliere piattaforme alternative, come Telegram. Questo episodio è solo l’ennesimo a conferma della bontà della scelta: ridurre la superficie di (cyber)attacco è importante quanto ricordarsi di chiudere a chiave la propria porta di casa.

(Visitato in totale 114 volte, oggi 1 visite)
Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.