Google搜尋可以找到30萬筆WhatsApp用戶電話號碼

印度獨立安全研究人員Athul Jayaram近日揭露，他發現利用Google搜尋，就可以找到2.9萬筆到3萬筆的WhatsApp用戶電話號碼，而問題則出在於WhatsApp的點擊對話（click to chat）功能。

WhatsApp雖然是以電話號碼作為註冊依據，但新增好友時不一定要提供電話號碼，而是只要掃描QR code即可。然而，WhatsApp特別替網站或商家設計的點擊對話功能，則是透過[https:]//wa.me/產生一個含有電話號碼的連結，使用者只要點選該連結，就會開啟WhatsApp，並可傳訊給對方或是與對方通話。

Jayaram指出，一來該連結並未加密，因此使用者從連結中就能看到明文的電話號碼，若是大量分享連結，曝光的範圍就更大了；二來「 https://wa.me」並未在伺服器上建立禁止Google或其它搜尋引擎索引該站內容的robots.txt 檔案，因而讓搜尋引擎得以爬梳並索引這些電話號碼。

於是，當在Google上執行特定的搜尋字串時，就會出現大量的WhatsApp電話號碼，點選相關的連結，即可透過WhatsApp與對方傳訊或通話，當然也可直接傳送簡訊至該電話號碼，此外，若加上國碼，也可將搜尋範圍縮小至特定國家，也許是台灣使用WhatsApp的人數不多，當加入+886進行搜尋時，只出現3筆結果。

由於WhatsApp為臉書的子公司，因此Jayaram企圖透過抓漏獎勵專案聯繫臉書，但臉書則說該專案並未涵蓋WhatsApp。Jayaram在6月7日對外公開了此一臭蟲，而今日（6/8）依然可透過Google找到大量的WhatsApp用戶電話號碼。

Jayaram表示，使用者的電話號碼可能連結了加密錢包、銀行帳號或信用卡，並讓駭客有機可趁，而WhatsApp其實只要加密連結中的電話號碼，或建立robots.txt就能預防此事了。