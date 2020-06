© Allie Smith - Unsplash

Click-to-Chat-Nummern erlauben Personen oder Unternehmen, dass User deren Telefonnummer einfach via QR Code oder URL anklicken können, um in einen Chat zu gelangen. Hunderttausende auf diese Weise bereitgestellte Nummern wurden nun in der Google-Suche entdeckt. Sicherheitsforscher und Bug Bounty Hunter Athul Jayaram hatte die Nummern entdeckt und sieht in der öffentlichen Zugänglichkeit ein Problem für die Privatsphäre der User. WhatsApp-Mutter Facebook betont allerdings, dass es hier keine Datenschutzverstöße gegeben hat.

300.000 Telefonnummern von WhatsApp bei Google gefunden

Beim Publisher Threatpost berichtet Lindsey O’Donell von der Entdeckung Jayarams, die auf den ersten Blick alarmierend wirkt. Denn zahlreiche Telefonnummern, die WhatsApp User für Click to Chat angegeben haben, sind nun öffentlich einsehbar. Dabei erklärt WhatsApp zum einen, dass bei Google durch die Indexierung nur publik geworden sei, was die User ohnehin zu veröffentlichen entschieden hatten. Zum anderen wird die Funktion Click to Chat vornehmlich von Geschäftskunden genutzt – deren Nummern sowieso meist öffentlich sind.

Our Click to Chat feature, which lets users create a URL with their phone number so that anyone can easily message them, is used widely by small and microbusinesses around the world to connect with their customers,

erklärte ein Sprecher gegenüber Threatpost. Bei Click to Chat, das über Mobile und WhatsApp Web funktioniert, werden die Nummern in einen vorgefertigten URL String integriert. Bei WhatsApp wird der Vorgang erklärt:

Die vorgefertigte Nachricht wird automatisch im Textfeld eines Chats angezeigt. Verwende https://wa.me/whatsapptelefonnummer/?text=urlcodiertertext. Ersetze dabei whatsapptelefonnummer mit der vollständigen Telefonnummer im internationalen Format und urlcodiertertext mit deiner vorgefertigten Nachricht in URL-Kodierung.

Athul Jayaram gibt hierzu gegenüber Threatpost zu bedenken, dass die Nummern damit im Plain Text zu sehen und für Dritte öffentlich auszulesen sind. Das sollten die User, die sich für das Feature entschieden haben, allerdings bedacht haben.

Indexierte Nummern als Chance für Spammer?

Die Crawler der Suchmaschinen wie etwa der Google Bot können nun Nummern indexieren, die wie in diesem Beispiel im Plain Text angegeben werden. So betont Jayaram bei Threatpost:

As individual phone numbers are leaked, an attacker can message them, call them, sell their phone numbers to marketers, spammers, scammers.

Allerdings identifiziert WhatsApp seine User über die Telefonnummern. Deshalb waren bei Google auch lediglich Nummern einsehbar, die nicht mit einzelnen Usern in Verbindung gebracht wurden. Trotzdem konnten die Profile der WhatsApp User über die indexierten URLs eingesehen werden; das war jedoch grundlegend Sinn der Click-to-Chat-Funktion, auch wenn mancher User seine Nummer womöglich nicht jedem Suchenden bei Google präsentieren wollte.

Während in diesem Fall also kein Datenschutz-Leck bei WhatsApp vorliegt, warnt Athul Jayaram trotzdem vor der Möglichkeit des Identitätsdiebstahls. Eine Prämie für den vermeintlichen Fehler, den Jayaram Ende Mai entdeckte, gab es nicht. Denn ein WhatsApp-Sprecher betont:

While we appreciate this researcher’s report and value the time that he took to share it with us, it did not qualify for a bounty since it merely contained a search engine index of URLs that WhatsApp users chose to make public. All WhatsApp users, including businesses, can block unwanted messages with the tap of a button.

Google wiederum, bei dessen Suchmaschine die zahlreichen Nummern indexiert wurden, sieht sich nicht in einer Verantwortung für die Veröffentlichung und etwaige damit einhergehende Probleme. Denn die Suchmaschine indexiere öffentliche URLs und sei nicht in der Lage, diese zu entfernen. In einem ähnlichen Fall gab der Chef der Google SearchLiaison, Danny Sullivan, bei Twitter an:

Search engines like Google & others list pages from the open web. That’s what’s happening here. It’s no different than any case where a site allows URLs to be publicly listed. We do offer tools allowing sites to block content being listed in our results: https://t.co/D1YIt228E3 — Danny Sullivan (@dannysullivan) February 21, 2020

Die WhatsApp User und Webmaster, die URLs für Telefonnummern einstellen, haben jedoch die Möglichkeit, via robots.txt die Crawler dazu zu bewegen, diese Seiten nicht zu indexieren. Trotzdem sollten sich User immer darüber im Klaren sein, dass erstellte URLs im Web kaum je unentdeckt bleiben, wenn hierfür keine konkreten Maßnahmen getroffen werden.

