Uma falha do WhatsApp permite que centenas de milhares de links de convites de grupos privados sejam indexados por mecanismos de busca como o Google.
O WhatsApp é uma das plataformas de mensagens mais utilizadas no planeta. Ainda neste mês, a empresa anunciaram que ultrapassaram 2 bilhões de usuários. Tal como acontece com outras plataformas de mensagens, os chats em grupo do WhatsApp são uma forma popular de comunicar com a sua família ou grupos de amigos, colegas ou estranhos na Internet. Os usuários podem convidar outras pessoas para grupos privados com o recurso “Convidar para grupo via link” e depois compartilhar esse link da maneira que desejarem. Se esses links de convite forem compartilhados on-line, parece que é alarmantemente fácil encontrá-los com uma simples consulta em um mecanismo de pesquisa.
Esta falha de design foi relatada pela primeira vez pelo jornalista Jordan Wildon no Twitter. Ele descobriu que os URLs “Convidar para grupo via link” estavam sendo indexados pelo Google e podiam ser encontrados com os termos de pesquisa corretos. Os links de bate-papo em grupo usam o URL base “chat.whatsapp.com”, que pode ser encontrado no Google com o modificador “site:”.
Jane Manchun Wong, conhecida por aplicativos de engenharia reversa, chamou mais atenção para a situação. Ela descobriu que o Google tem mais de 470.000 resultados ao fazer uma simples pesquisa no site pelo URL “chat.whatsapp.com”. Muitos desses resultados são convites para grupos privados. Depois que um usuário ingressa em um grupo, ele pode ver todos os participantes e seus números de telefone. Obviamente, este é um grande problema de privacidade, já que alguns dos grupos que existem são aqueles aos quais as pessoas podem não querer se associar publicamente.
Danny Sullivan, representante de pesquisa pública do Google, twittou sobre a situação, dizendo: "Mecanismos de busca como o Google e outros listam páginas da web aberta. Isso é o que está acontecendo aqui. Não é diferente de qualquer caso em que um site permite que URLs sejam listados publicamente." Ele continua dizendo que há ferramentas para os webmasters impedirem que o conteúdo apareça nos resultados de pesquisa, o que o WhatsApp claramente precisa fazer para proteger os usuários desses grupos.
Isso não é culpa do Google ou de qualquer outro mecanismo de busca. Como Jane e Danny apontaram, isso se deve à falta de previsão por parte do WhatsApp. Eles deveriam usar a meta tag “noindex” ou “norobots.txt” para impedir que as páginas de convite apareçam nos mecanismos de pesquisa.
Um porta-voz do WhatsApp divulgou a seguinte declaração para Vice:
Os administradores de grupos do WhatsApp podem convidar qualquer usuário do WhatsApp para ingressar nesse grupo, compartilhando um link que eles geraram. Como todo conteúdo compartilhado em canais públicos pesquisáveis, os links de convite postados publicamente na internet podem ser encontrados por outros usuários do WhatsApp. Links que os usuários desejam compartilhar de forma privada com pessoas que conhecem e em quem confiam não devem ser publicados em sites de acesso público.
O WhatsApp está dizendo que os links compartilhados publicamente na internet podem ser pesquisados, mas esse é o verdadeiro problema aqui. Este não é o caso de pessoas encontrarem alguns links de bate-papo em grupo que foram compartilhados online de forma imprudente. Milhares de links de convite para bate-papo em grupo são facilmente detectáveis porque o WhatsApp se recusa a fazer qualquer coisa para impedir que os mecanismos de pesquisa os indexem. As pessoas não deveriam compartilhar esses URLs online, mas o WhatsApp poderia resolver o problema de serem tão facilmente pesquisáveis.