WhatsApp点击对话功能出包 30万用户电话号码网上曝光

WhatsApp 点击对话功能，被发现因没有妥善加密，导致 30 万用户电话号码外泄，甚至能在 Google 搜寻中找得到。所幸，该漏洞已正式修复。(黄慧雯制)

你是 WhatsApp 用户吗？为了便利使用者，WhatsApp 提供了一个名为「点击对话」(Click to chat)的功能。让你能在未将对方电话加入通讯录的前提下，就与对方展开对话。但是因为功能将电话号码明列在网址中且没有加密，导致竟被搜寻引擎索引，可能已有多达 30 万笔电话号码因此遭到泄漏。因电话号码常用来进行网路服务的身分验证，这些资料走漏的可能影响范围恐超乎想像。

外媒报导，网路安全专家 Athul Jayaram 指出，WhatsApp 的点击对话功能中存在 bug，导致多达 30 万笔的电话号码在网路上能轻易搜寻得到。WhatsApp 点击对话功能，让你可以透过「https://wa.me/」开头的网址，加上你已知的电话号码，就能在不将对方加入通讯录的前提下，就与对方展开网路上的对谈。但这项功能由于直接将电话号码写在网址之中，且没有经过妥善加密，因此被 Google 搜寻引擎收入索引之中，导致在网路上只要透过 site:wa.me 就能轻松找到这些外泄的电话号码。目前已知，遭到泄漏的电话号码可能多达 30 笔，而较多的受害者来自美国、英国以及印度。

针对网路资安专家 Athul Jayaram 所发现的漏洞，WhatsApp 发表声明指出，当初开发点击对话功能的目的为了替用户带来帮助。如今他们已经解决了某些用户的电话号码会出现在 Google 搜寻之中的问题；并对于 Athul Jayaram 提交的漏洞报告表示欣赏，感谢他所做的相关研究。针对 WhatsApp 用户的电话号码意外被 Google 搜寻引擎加入索引，能在网路上被搜寻到的情况，Google 也有提供协助，目前相关资料都已无法在网路上找得到。

《TechCrunch》网站指出，网路资安专家 Athul Jayaramn 所发现的问题，事实上在今年 2 月 WaBetaInfo 就已经发现，只是截至近期 WhatsApp 才终于修复了相关漏洞。WhatsApp 已经被社群平台龙头 Facebook 所收购，目前归属 Facebook 旗下。

为了防护个人资料外泄，以及外泄后可能会有网路帐号或是财产遭到威胁的疑虑。建议使用者若觉得有需要，也可以在 WhatsApp 中开启双重验证功能，提升帐户安全。也可以留意近期是否有收到来路不明的电子邮件或是讯息，并且避免进行点击，以免误入网路钓鱼的陷阱。