WhatsApp chwali się, że prowadzone za pomocą aplikacji konwersacje są szyfrowane od nadawcy do odbiorcy. Podobną ochroną nie są niestety objęte numery telefonów użytkowników – część z nich była dostępna w sieci bez żadnego zabezpieczenia.
Katalog numerów został odkryty przez Athula Jayarama, specjalistę od cyberbezpieczeństwa. Dotyczy on należącej do WhatsAppa domeny wa.me, za pomocą której użytkownicy mogą skorzystać z funkcji „Kliknij i czatuj”. Pozwala ona skontaktować się przez aplikację z numerami, których nie mamy w książce adresowej, na przykład firmami i serwisami obsługi klienta. W trakcie śledztwa okazało się, że domena ta przechowuje numery telefonów użytkowników korzystających z funkcji, a na dodatek są one bardzo łatwo dostępne – wystarczy za pomocą przeglądarki Google przeszukać stronę pod kątem numeru kierunkowego danego kraju. Liczba numerów przekracza 300 000, a wśród nich znajdują się także te należące do użytkowników z Polski.
Problem został zgłoszony Facebookowi, który jednak nie zdecydował się ani na przyznanie nagrody za odkrycie błędu, ani na jego załatanie. Według portalu społecznościowego fakt, że numery telefonów indeksowane są przez Google, to problem wyszukiwarki, a nie WhatsAppa, zaś poprzez korzystanie z „Kliknij i czatuj” użytkownicy sami zgodzili się na ich upublicznienie – wiele z nich należy do przedsiębiorstw regularnie korzystających z tej funkcji. Z drugiej strony, sporo osób korzystających z WhatsAppa zostało skuszonych obietnicą w pełni bezpiecznego, szyfrowanego komunikatora; znalezienie swojego numeru telefonu w publicznie dostępnej wyszukiwarce może być dla nich niezbyt przyjemną niespodzianką.
