Linkovi koji vode do zatvorenih grupa aplikacije za razmjenu poruka WhatsApp, mogu se lako pronaći na internetu i to jednostavnom pretragom na Googleu. Čak i bez pridruživanja grupi može se doći do brojeva telefona članova grupa i njihovih imena, javlja Deutsche Welle.
Nakon što je taj veliki sigurnosni propust otkriven, uslijedile su oštre negativne reakcije na društvenim mrežama, pa je WhatsApp te linkove uklonio iz Google-ovih rezultata pretraživanja.
Ali usprkos tome, javno dostupne internet arhive i dalje čuvaju te podatke, otkrio je istražitelj sigurnosti Lav Kumar. On je skupio i organizirao preko 60.000 linkova, koji se još uvijek mogu pronaći na više siteova.
Od 1.000 nasumično izabranih linkova koje je testirao DW, 427 su bili aktivni linkovi za chat. Čak i bez aktivnog pridruživanja grupi, njen naziv, opis, slika i telefonski broj autora dostupni su za sve. A kada se uđe u grupu, moguće je vidjeti i brojeve telefona, do 256 sudionika, kao i ostale informacije. Nakon toga, dodavanjem tih brojeva u kontakte mogu se otkriti i imena u aplikaciji.
Reagirajući na upit DW-a, WhatsApp je izjavio: “Prikazujemo sve telefonske brojeve u grupama radi sigurnosti ljudi, tako da mogu znati tko će primati njihove poruke”.
Koristeći tu sigurnosnu rupu, DW je tako recimo dobio pristup grupi koju u Indoneziji opisuju kao Ministarstvo financija državnih službenika, uključujući i telefonske brojeve svih 14 članova. Za nekoliko drugih grupa ispostavilo se da su službene grupe za podršku kampanji brazilskog predsjednika Jaira Bolsonara.
Među 427 aktivnih ispitanih linkova našlo se puno raznolikih grupa, od školskih razrednih pa sve do političkih i pornografskih. Neke grupe su čak uključivale članove posebno osjetljivog identiteta, poput jednog chata sa stotinama članova koji su u latinoameričkoj zemlji (koja ima visok stupanj homofobnih ubojstava), jasno označeni kao LGBTK+ grupa.
U nekim slučajevima, slika grupe je izgledala poput amaterske pornografije ili je imala naslove kao što su “tajni video snimci bivših žena”. Na popisu su bile i potencijalne terorističke grupe i one gdje se dijele snimci “ekstremnog” seksualnog sadržaja, uključujući silovanja. Mali broj linkova ukazivao je da se radi čak o pedofilskom sadržaju.
WhatsApp je za DW priopćio da tvrtka ima politiku nulte tolerancije u vezi sa seksualnim zlostavljanjem djece i da odmah izbacuju korisnike ako se ispostavi da dijele sadržaj koji zloupotrebljava ili ugrožava djecu. Platforma također tvrdi da svakog mjeseca gasi oko 250.000 profila za koje se sumnja da dijele zabranjene slike djece i da se pritom oslanjaju na dojave korisnika i sve nekodirane podatke.
Taj sigurnosni propust poznat je još od 2016. godine. Tada je WhatsApp reagirao i riješio problem. Krajem 2019. problem je ponovo prijavljen, ali je u odgovoru za DW navedeno da se to ne smatra “visokim prioritetom”.
