API parameter with number indexed by Google - Information Gathering on WhatsApp

Fra i tanti servizi e funzionalità di WhatsApp troviamo la possibilità del Click to Chat (link del tipo https://wa.me/<TelephonNumber> in cui il numero di telefono deve essere anticipato dalle cifre del prefisso internazionale)  che permette direttamente da un sito web di aprire WhatsApp ed interagire con l'utente.

Proprio in riferimento a questi link, i quali vengono inseriti sui vari siti per aumentare la possibilità di contatto, occorre segnalare che si stanno creando degli enormi indici di numeri di telefono collegati al sistema di messaggistica.

Una serie di Google Dork (Query di ricerca) possono essere utilizzate per estrarre utenze WhatsApp dagli indici di Google.

Provate ad esempio ad incollare nella casella di ricerca di Google: site://https://api.whatsapp.com/send?phone=

Questo tipo di ricerca ad esempio estrae 157000 utenze di cui se modificate la stringa in site://https://api.whatsapp.com/send?phone= +39 riuscirete ad estrarre 1800 utenze italiane, e con lo stesso metodo, cioè modificando le cifre del prefisso si potrebbero estrarre tutte le altre numerazioni.

Nel titolo dell'articolo ho inserito la frase "Information Gathering" proprio per il fatto che, in momenti successivi, ogni numero di telefono indicizzato potrebbe essere oggetto di successive ricerche sui vari siti Open Source Intelligence indicati ad esempio su https://osintframework.com sottosezione Telephone Numbers oppure attraverso il servizio sync.me o ancora semplicemente sui vari motori di ricerca, arrivando in questo modo al nome della persona e quindi ai profili social. 

Ho provato a segnalare l'anomalia a Facebook / WhatsApp per cercare di capire come mai non è stato inserito un blocco per impedire l'indicizzazione di questi link, che ad onor del vero potrebbe partire dai siti web in cui viene inserito il link "Click To Chat & Call", ma che potrebbe essere bloccato in maniera centralizzata sul dominio collegato e quindi sia su wa.me che su api.whatapp.com.

Vi terrò aggiornati su eventuali risposte che mi invierà il colosso americano.

 

Aggiornamento del 08/06/2020 dopo aver avuto un confronto con il reparto Sicurezza di Facebook - WhatsApp

Effettivamente il problema esiste, Facebook mi ha comunicato che api.whatsapp.com e chat.whatapp.com non consentono scansioni da motori di ricerca.

Il colosso scarica alla tecnologia di Google il problema, rimandando alla lettura dell'articolo Google:  

https://support.google.com/webmasters/answer/6062608?hl=en

dove troviamo il seguente testo alla fine della pagina

A robotted page can still be indexed if linked to from from other sites

While Google won't crawl or index the content blocked by robots.txt, we might still find and index a disallowed URL if it is linked from other places on the web. As a result, the URL address and, potentially, other publicly available information such as anchor text in links to the page can still appear in Google search results. 

Massimo Chirivì

ICT Consultant & IT Security Expert
Via Carducci 226, 73050 - Salve (LE)
Tel. +.39.3357214260
E-Mail: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
Site WEB: www.massimochirivi.net

Massimo Chirivì è CEO della startup INNOVAMIND, società di consulenza informatica che si occupa di Networking, Ricerca, Sviluppo Software e Sicurezza Informatica