Jakarta – Platform perpesanan WhatsApp terkenal dengan standar privasi data tinggi, yang menawarkan enkripsi end to end untuk semua pengguna. Namun, penemuan pengamat ini memunculkan kekhawatiran bagi pengguna WhatsApp.
Temuan ini diungkapkan Athul Jayaran, seorang pengamat keamanan siber dari Hackerone & Bugcrowd. Menurutnya, nomor pengguna Whatsapp dapat dengan mudah terungkap lewat fitur Click to Chat. Nomor pengguna terekspos oleh domain ‘wa.me’ milik WhatsApp yang menyimpan metadata Click to Chat dengan mengetikkan alamat https://wa.me/>.
Karena tidak ada tindakan untuk mencegah mesin pencari mengindeks metadata ini, angka-angka tersebut bocor ke hasil pencarian publik. Akibatnya, nomor telepon pengguna masuk dalam hasil pencarian Google dan rentan digunakan untuk tindak kejahatan siber. “Nomor ponsel Anda terlihat didalam URL ini dan siapa pun yang memegang URL dapat mengetahui nomor ponsel Anda,” ujar Jayaram seperti dikutip TechRadar pada Rabu (10/6/2020).
Ia menambahkan, ketika nomor telepon individu bocor, penyerang dapat mengirim pesan kepada mereka, menelepon mereka, menjual nomor telepon mereka ke pemasar, pengirim spam dan penipu.
Ketika menjelajahi domain melalui pencarian Google, Jayaram dilaporkan menemukan 300.000 nomor WhatsApp yang dipublikasikan melalui mekanisme ini. Mengklik ke halaman web tidak mengungkap nama lengkap pengguna, tetapi mengungkapkan gambar profil WhatsApp mereka.
Setelah membuat penemuan pada 23 Mei, Jayaram kemudian melaporkan masalah tersebut kepada pemilik WhatsApp, Facebook melalui skema bug-bounty-nya.
“Meskipun kami menghargai laporan peneliti ini dan menghargai waktu yang ia ambil untuk membaginya dengan kami, itu tidak memenuhi syarat untuk hadiah karena hanya berisi indeks mesin pencari dari URL yang dipilih pengguna WhatsApp untuk dipublikasikan,” kata juru bicara WhatsApp.
“Semua pengguna WhatsApp, termasuk bisnis, dapat memblokir pesan yang tidak diinginkan dengan ketukan tombol.”
Jayaram, bagaimanapun, percaya harus mengungkapkan lebih serius, masalah ini. “Nomor ponsel Anda bisa saja terhubung dengan dompet Bitcoin, Adhaar, rekening bank, kartu kredit, dll. Penyerang dapat menyadap kartu SIM dan serangan kloning adalah kemungkinan lain,” katanya. [Zin]
