Fitur WhatsApp ini Munculkan Nomor Ponsel di Pencarian Google

Temuan baru yang diperoleh peneliti keamanan siber mengungkapkan bahwa pengguna fitur WhatsApp Click to Chat dapat menemukan nomor ponsel pribadi mereka terekspos via hasil pencarian Google publik.

Mengutip Techradar, Click to Chat merupakan fasilitas WhatsApp yang kurang populer, memungkinkan pengunjung situs untuk berbincang dengan operator situs via layanan pesan instan. Sebagai contoh, jika pengunjung situs ecommerce memiliki pertanyaan terkait produk, mereka dapat memindai QR code untuk dapat masuk ke dalam percakapan WhatsApp dengan petugas terkait.

Namun, menurut peneliti dan pencari bug Athul Jayaram, memanfaatkan fitur ini dapat menyebabkan nomor ponsel pengguna muncul di hasil pencarian. Hal ini menjadi celah bagi tindakan kejahatan siber dan penipuan.

WhatsApp dikenal masyarakat memiliki standar privasi data tinggi, menawarkan enkripsi end-to-end kepada seluruh pengguna. Namun, temuan terbaru ini mengindikasikan privasi data personal tidak sebaik yang dipikirkan pengguna.

Nomor ponsel pengguna diekspos via domain wa.me milik WhatsApp, menyimpan metadata Click to Chat di rangkaian URL. Tidak tersedianya tindakan untuk mencegah mesin pencarian pengindeks metadata ini menyebabkan nomor tersebut muncul di hasil pencarian publik.

Jayaram menjelaskan bahwa nomor ponsel pengguna tersedia dalam teks polos dalam URL tersebut, dan setiap orang yang memiliki akses ke URL ini dapat mengetahui nomor ponsel pengguna. Sayangnya, Jayaram menyebut pengguna tidak dapat menghapus data nomor ponsel di URL ini.

Setelah menjelajahi domain melalui pencarian Google, Jayaram mengaku menemukan 300 ribu WhatsApp yang dipublikasikan melalui mekanisme ini. Mengklik di halaman web tidak mengungkapkan nama lengkap pengguna, namun mengungkap foto profil WhatsApp pengguna.

Menemukan informasi ini pada tanggal 23 Mei lalu, Jayaram menyebut segera melaporkan masalah ini kepada pemilik WhatsApp, Facebook, melalui skema pencarian bug miliknya. Sayangnya, laporan Jayaram ini ditolak, dengan alasan bahwa pengguna WhatsApp memiliki pengawasan penuh terhadap informasi yang terlampir pada profil mereka yang tersedia secara umum.

Meskipun WhatsApp telah menyediakan opsi yang dapat dipilih pengguna terkait dengan hal ini, Jayaram meyakini bahwa perusahaan layanan pesan instan ini seharusnya melakukan tindakan secara lebih serius berdasarkan ruang lingkup serangan yang dapat difasilitasi.