WhatsApp點擊對話功能出包 30萬用戶電話號碼網上曝光

WhatsApp 點擊對話功能，被發現因沒有妥善加密，導致 30 萬用戶電話號碼外泄，甚至能在 Google 搜尋中找得到。所幸，該漏洞已正式修復。(黃慧雯制)

你是 WhatsApp 用戶嗎？爲了便利使用者，WhatsApp 提供了一個名爲「點擊對話」(Click to chat)的功能。讓你能在未將對方電話加入通訊錄的前提下，就與對方展開對話。但是因爲功能將電話號碼明列在網址中且沒有加密，導致竟被搜尋引擎索引，可能已有多達 30 萬筆電話號碼因此遭到泄漏。因電話號碼常用來進行網路服務的身分驗證，這些資料走漏的可能影響範圍恐超乎想像。

外媒報導，網路安全專家 Athul Jayaram 指出，WhatsApp 的點擊對話功能中存在 bug，導致多達 30 萬筆的電話號碼在網路上能輕易搜尋得到。WhatsApp 點擊對話功能，讓你可以透過「https://wa.me/」開頭的網址，加上你已知的電話號碼，就能在不將對方加入通訊錄的前提下，就與對方展開網路上的對談。但這項功能由於直接將電話號碼寫在網址之中，且沒有經過妥善加密，因此被 Google 搜尋引擎收入索引之中，導致在網路上只要透過 site:wa.me 就能輕鬆找到這些外泄的電話號碼。目前已知，遭到泄漏的電話號碼可能多達 30 筆，而較多的受害者來自美國、英國以及印度。

針對網路資安專家 Athul Jayaram 所發現的漏洞，WhatsApp 發表聲明指出，當初開發點擊對話功能的目的爲了替用戶帶來幫助。如今他們已經解決了某些用戶的電話號碼會出現在 Google 搜尋之中的問題；並對於 Athul Jayaram 提交的漏洞報告表示欣賞，感謝他所做的相關研究。針對 WhatsApp 用戶的電話號碼意外被 Google 搜尋引擎加入索引，能在網路上被搜尋到的情況，Google 也有提供協助，目前相關資料都已無法在網路上找得到。

《TechCrunch》網站指出，網路資安專家 Athul Jayaramn 所發現的問題，事實上在今年 2 月 WaBetaInfo 就已經發現，只是截至近期 WhatsApp 才終於修復了相關漏洞。WhatsApp 已經被社羣平臺龍頭 Facebook 所收購，目前歸屬 Facebook 旗下。

爲了防護個人資料外泄，以及外泄後可能會有網路帳號或是財產遭到威脅的疑慮。建議使用者若覺得有需要，也可以在 WhatsApp 中開啓雙重驗證功能，提升帳戶安全。也可以留意近期是否有收到來路不明的電子郵件或是訊息，並且避免進行點擊，以免誤入網路釣魚的陷阱。