Le tue chat di gruppo su WhatsApp potrebbero non essere così sicure come pensi. Venerdì scorso un’indagine su DW ha dimostrato che migliaia di collegamenti a gruppi privati di WhatsApp sono facilmente reperibili online.
Il giornalista di DW Jordan Wildon ha notato che l’uso della funzione “Invita al gruppo tramite link” di Whatsapp consente ai gruppi di essere indicizzati dai motori di ricerca. Circa 470.000 di tali collegamenti di invito erano stati aggiunti all’indice di Google, consentendone l’estrazione con semplici termini di ricerca.
Dopo la pubblicazione dell’articolo, il motore di ricerca Google non mostra più i link. Tuttavia, a oggi questi link esposti continuano ad apparire su altri motori di ricerca come Bing, Yandex e DuckDuckGo e possono ancora essere pubblicati altrove su Internet. Ecco i dettagli.
LA SCOPERTA DEL GIORNALISTA DI DW
Innanzitutto, occorre fare una premessa. Gli utenti di WhatsApp possono accedere a un gruppo solo tramite invito diretto all’interno dell’app (la modalità più comune) o tramite la creazione di un link di invito digitale che può essere condiviso ovunque. Proprio da questi link sono emersi i guai.
Il giornalista Jordan Wildon ha spiegato su Twitter di aver scoperto che la funzione “Invita al collegamento di gruppo” di WhatsApp consente a Google di indicizzare i gruppi, rendendoli disponibili su Internet poiché i collegamenti vengono condivisi al di fuori del servizio di messaggistica privata protetta di WhatsApp.
Your WhatsApp groups may not be as secure as you think they are.
The "Invite to Group via Link" feature allows groups to be indexed by Google and they are generally available across the internet. With some wildcard search terms you can easily find some… interesting… groups. pic.twitter.com/hbDlyN6g3q
— Jordan Wildon (@JordanWildon) February 21, 2020
Come ha scritto Jordan su DW, i collegamenti WhatsApp che portano a gruppi chiusi possono essere trovati con una semplice ricerca su Google. Si tratta senza dubbio di un grave difetto di sicurezza.
La famosa sviluppatrice Jane Manchun Wong ha notato che Google forniva circa 470.000 risultati per gli URL chat.whatsapp.com utilizzati dagli inviti di gruppo.
A misconfiguration by WhatsApp enabled ~470k Group Invite links to be indexed by search engines
It should’ve been `Disallow`ed with robots.txt or with the `noindex` meta tag
thanks @JordanWildon for the tip https://t.co/CJxjJ5qyfh pic.twitter.com/FrW1I9Y8vs
— Jane Manchun Wong (@wongmjane) February 21, 2020
LA REPLICA DI WHATSAPP
All’articolo di Dw, WhatsApp (di proprietà Facebook ndr) ha precisato che “Come tutti i contenuti condivisi in canali pubblici ricercabili, i link di invito pubblicati su Internet possono essere trovati da altri utenti di WhatsApp. I collegamenti che gli utenti desiderano condividere privatamente con persone che conoscono e di cui non si fidano non dovrebbero essere pubblicati su un sito Web accessibile a tutti”.
LA RIMOZIONE DALLA RICERCA DI GOOGLE
A partire da sabato comunque, WhatsApp ha risolto il problema. I link sono di fatto spariti da Google.
UNA SETTIMANA DOPO, ANCORA ONLINE
Nonostante la rimozione, tuttavia, DW ha rivelato ieri che gli archivi Internet disponibili al pubblico conservano ancora le informazioni. Il ricercatore di sicurezza Lav Kumar è riuscito infatti a raccogliere e organizzare oltre 60.000 link unici, che possono ancora essere trovati su più siti Web.
ZERO PRIVACY
Dei 1.000 collegamenti selezionati casualmente testati da DW, 427 erano collegamenti di chat attivi. Come spiega Jordan Wildon nell’articolo di ieri, “anche senza aderire attivamente a un gruppo, il titolo, la descrizione, l’immagine e il numero di telefono dell’autore sono disponibili per tutti”.
“Mostriamo tutti i numeri in gruppi per la sicurezza delle persone in questo modo in cui sanno chi riceverà i loro messaggi”, ha replicato WhatsApp a DW.
Chiunque trovi un collegamento di gruppo online potrebbe dunque unirsi alla chat. In questo modo avrebbe accesso a chat potenzialmente private o confidenziale, nonché ai numeri di telefono dei membri e i nomi utente di WhatsApp.
I GRUPPI ONLINE TROVATI DA DW
Utilizzando queste informazioni, DW ha ottenuto l’accesso a un gruppo nominato come “Ministero delle finanze” in Indonesia, rivelando i numeri di telefono di tutti i 14 membri. Diversi altri gruppi sembravano essere chat di supporto ufficiali per la campagna del presidente brasiliano Jair Bolsonaro.
Tra i 427 collegamenti attivi esaminati da DW, c’erano gruppi descritti per classi scolastiche, tirocinanti medici, campagne politiche, imprese, ma anche pornografia e prostituzione.
LE SPIEGAZIONI DI FACEBOOK (PROPRIETARIA DI WHATSAPP)
Un portavoce di WhatsApp aveva già precisato la scorsa settimana che l’app “comunica chiaramente alle persone che condividono un collegamento di invito di gruppo” e “gli amministratori di gruppo possono revocare i collegamenti in qualsiasi momento”. Tuttavia, la revoca di un collegamento genera solo un nuovo collegamento e non disattiva completamente i collegamenti.
LA POSIZIONE DI GOOGLE
Ma qual è la posizione di Google sulla questione dei link dei gruppi privati pubblicati online? Il colosso di Mountain View ha rifiutato di fornire commenti, ma Danny Sullivan, il referente di Google per la ricerca online, ha twittato: “I motori di ricerca come Google e altri elencano le pagine del Web aperto. Questo è quello che sta succedendo qui. Non è diverso da qualsiasi altro caso in cui un sito consente agli url di essere indicizzati pubblicamente”. E ha concluso con un link al Centro assistenza di Google per impedire che i contenuti vengano inclusi nei risultati di ricerca.
Search engines like Google & others list pages from the open web. That’s what’s happening here. It’s no different than any case where a site allows URLs to be publicly listed. We do offer tools allowing sites to block content being listed in our results: https://t.co/D1YIt228E3
— Danny Sullivan (@dannysullivan) February 21, 2020