Un difetto di WhatsApp consente a centinaia di migliaia di collegamenti di invito a gruppi privati di essere indicizzati da motori di ricerca come Google.
WhatsApp è una delle piattaforme di messaggistica più utilizzate al mondo. Proprio questo mese, l'azienda hanno annunciato di aver superato i 2 miliardi di utenti. Come con altre piattaforme di messaggistica, le chat di gruppo di WhatsApp sono un modo popolare per comunicare con la famiglia o gruppi di amici, colleghi o sconosciuti su Internet. Gli utenti possono invitare altri a gruppi privati con la funzione "Invita al gruppo tramite collegamento" e quindi condividere il collegamento come preferiscono. Se questi link di invito vengono condivisi online, sembra che sia incredibilmente facile trovarli con una semplice query sul motore di ricerca.
Questo difetto di progettazione è stato segnalato per la prima volta dal giornalista Jordan Wildon su Twitter. Ha scoperto che gli URL "Invita al gruppo tramite collegamento" venivano indicizzati da Google e potevano essere trovati con i termini di ricerca corretti. I collegamenti alle chat di gruppo utilizzano l'URL di base "chat.whatsapp.com", che può essere trovato su Google con il modificatore "site:".
Jane Manchun Wong, nota per le app di reverse engineering, ha attirato maggiore attenzione sulla situazione. Ha scoperto che Google ottiene oltre 470.000 risultati quando esegue una semplice ricerca sul sito per l'URL "chat.whatsapp.com". Molti di questi risultati sono inviti per gruppi privati. Una volta che un utente si unisce a un gruppo, può vedere tutti i partecipanti e i loro numeri di telefono. Ovviamente, questo è un grosso problema di privacy poiché alcuni dei gruppi là fuori sono quelli a cui le persone potrebbero non voler essere associate pubblicamente.
Danny Sullivan, referente per la ricerca pubblica di Google, twittato sulla situazione, dicendo: "I motori di ricerca come Google e altri elencano le pagine del web aperto. Questo è quello che sta succedendo qui. Non è diverso da qualsiasi caso in cui un sito consente che gli URL siano elencati pubblicamente." Continua dicendo che esistono utensili ai webmaster di impedire che i contenuti vengano visualizzati nei risultati di ricerca, cosa che WhatsApp deve chiaramente fare per proteggere gli utenti di questi gruppi.
Questo non è colpa di Google o di qualsiasi altro motore di ricerca. Come hanno sottolineato Jane e Danny, ciò è dovuto alla mancanza di lungimiranza da parte di WhatsApp. Dovrebbero utilizzare il meta tag "noindex" o "norobots.txt" per escludere le pagine di invito dalla visualizzazione nei motori di ricerca.
Un portavoce di WhatsApp ha rilasciato la seguente dichiarazione a Vice:
Gli amministratori dei gruppi WhatsApp possono invitare qualsiasi utente WhatsApp a unirsi a quel gruppo condividendo un collegamento che hanno generato. Come tutti i contenuti condivisi in canali pubblici ricercabili, i link di invito pubblicati pubblicamente su Internet possono essere trovati da altri utenti WhatsApp. I collegamenti che gli utenti desiderano condividere privatamente con persone che conoscono e di cui si fidano non devono essere pubblicati su un sito Web accessibile pubblicamente.
WhatsApp sta dicendo che i link condivisi pubblicamente su Internet sono ricercabili, ma qui è il vero problema. Non si tratta di persone che trovano alcuni collegamenti a chat di gruppo che sono stati incautamente condivisi online. Migliaia di link di invito alle chat di gruppo sono facilmente individuabili perché WhatsApp si rifiuta di fare qualsiasi cosa per impedire ai motori di ricerca di indicizzarli. Le persone non dovrebbero condividere questi URL online, ma WhatsApp potrebbe risolvere il problema della loro facile ricerca.