Исследователь обеспокоен: Google индексирует телефонные номера пользователей WhatsApp - «Новости» » Самоучитель CSS
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Видео уроки
Наш опрос



Наши новости

       
8-06-2020, 20:21
Исследователь обеспокоен: Google индексирует телефонные номера пользователей WhatsApp - «Новости»
Рейтинг:
Категория: Новости

ИБ-специалист Атул Джаярам обратил внимание, что один из доменов WhatsApp (wa.me) «сливает» телефонные номера пользователей, позволяя Google их индексировать.


Домен wa.me действительно принадлежит мессенджеру WhatsApp и используется для размещения специальных ссылок типа click to chat, после нажатия на которые можно начать чат с кем-то, чьего номера телефона нет в контактах.


Исследователь объясняет, что у доменов wa.me и api.whatsapp.com нет файла robots.txt, который объяснял бы поисковым системам, что не нужно сканировать телефонные номера на сайте. В результате ссылки, начинающиеся с «https://wa.me/», индексируются Google и другими поисковыми системами и появляются в результатах поиска. При нажатии такие ссылки человека перенаправляют на api.whatsapp.com, где он может продолжить чат с пользователем WhatsApp.




«По мере того, как телефонные номера “утекают”, злоумышленник может отправлять на них сообщения, звонить, продать эти телефонные номера маркетологам, спамерам и мошенникам», — рассказал Джаярам журналистам издания Threatpost.


В свою очередь, издание Bleeping Computer отмечает, что обнаруженная исследователем странность, это вовсе не обязательно ошибка. Так, для теста журналисты создали фейковую ссылку http://wa.me/11111, используя поддельный номер телефона. Как можно видеть на иллюстрации ниже, эта ссылка перенаправляет на api.whatsapp.com/send?phone=11111 и в итоге приводит на ту же самую целевую страницу, создавая впечатление, будто номер является активным WhatsApp-контактом, даже если это не так.




То есть спаммеры не могут просто использовать эту функцию для перебора настоящих номеров WhatsApp. Возможно, именно по этой причине Facebook отклонила запрос исследователя на получение вознаграждения по программе bug bounty.


Также журналисты Bleeping Computer отмечают, что в сети данным давно доступны целые каталоги телефонных номеров, чьи владельцы никогда не имели учетных записей в WhatsApp и других мессендждерах, а Google никогда их не индексировал.


Тем не менее, Джаярам по-прежнему убежден, что такая «утечка» телефонных номеров может представлять угрозу безопасности и конфиденциальности пользователей мессенджера. Он рекомендует инженерам WhatsApp использовать файл robots.txt для своих доменов, не позволяя Google индексировать номера телефонов.


«К сожалению, они еще не сделали этого, и ваша конфиденциальность может быть поставлена на карту. Сегодня ваш номер мобильного телефона связан с вашими Bitcoin-кошельками, Adhaar, банковскими счетами, UPI, кредитными картами… Еще одна возможность для злоумышленника, который знает ваш номер телефона, это атаки по обмену и клонированию SIM-карты», — говорит исследователь.


ИБ-специалист Атул Джаярам обратил внимание, что один из доменов WhatsApp (wa.me) «сливает» телефонные номера пользователей, позволяя Google их индексировать. Домен wa.me действительно принадлежит мессенджеру WhatsApp и используется для размещения специальных ссылок типа click to chat, после нажатия на которые можно начать чат с кем-то, чьего номера телефона нет в контактах. Исследователь объясняет, что у доменов wa.me и api.whatsapp.com нет файла robots.txt, который объяснял бы поисковым системам, что не нужно сканировать телефонные номера на сайте. В результате ссылки, начинающиеся с «https://wa.me/», индексируются Google и другими поисковыми системами и появляются в результатах поиска. При нажатии такие ссылки человека перенаправляют на api.whatsapp.com, где он может продолжить чат с пользователем WhatsApp. «По мере того, как телефонные номера “утекают”, злоумышленник может отправлять на них сообщения, звонить, продать эти телефонные номера маркетологам, спамерам и мошенникам», — рассказал Джаярам журналистам издания Threatpost. В свою очередь, издание Bleeping Computer отмечает, что обнаруженная исследователем странность, это вовсе не обязательно ошибка. Так, для теста журналисты создали фейковую ссылку http://wa.me/11111, используя поддельный номер телефона. Как можно видеть на иллюстрации ниже, эта ссылка перенаправляет на api.whatsapp.com/send?phone=11111 и в итоге приводит на ту же самую целевую страницу, создавая впечатление, будто номер является активным WhatsApp-контактом, даже если это не так. То есть спаммеры не могут просто использовать эту функцию для перебора настоящих номеров WhatsApp. Возможно, именно по этой причине Facebook отклонила запрос исследователя на получение вознаграждения по программе bug bounty. Также журналисты Bleeping Computer отмечают, что в сети данным давно доступны целые каталоги телефонных номеров, чьи владельцы никогда не имели учетных записей в WhatsApp и других мессендждерах, а Google никогда их не индексировал. Тем не менее, Джаярам по-прежнему убежден, что такая «утечка» телефонных номеров может представлять угрозу безопасности и конфиденциальности пользователей мессенджера. Он рекомендует инженерам WhatsApp использовать файл robots.txt для своих доменов, не позволяя Google индексировать номера телефонов. «К сожалению, они еще не сделали этого, и ваша конфиденциальность может быть поставлена на карту. Сегодня ваш номер мобильного телефона связан с вашими Bitcoin-кошельками, Adhaar, банковскими счетами, UPI, кредитными картами… Еще одна возможность для злоумышленника, который знает ваш номер телефона, это атаки по обмену и клонированию SIM-карты», — говорит исследователь.

Теги: CSS

Просмотров: 338
Комментариев: 0:   8-06-2020, 20:21
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме:
Комментарии для сайта Cackle