Hati-hati Klik "Link" Ini, Nomor WhatsApp Bisa Muncul di Google

Kompas.com - 12/06/2020, 11:04 WIB
ilustrasi WhatsApp reuters.comilustrasi WhatsApp

KOMPAS.com - Pernahkah Anda memulai chat WhatsApp menggunakan tautan? Tautan yang dimaksud adalah https://wa.me/, diikuti nomor WhatsApp orang yang dituju.

Dengan cara ini, penggna tidak perlu repot menyimpan nomor WhatsApp di buku kontak ponsel. Cukup mengetik tautan tersebut, lengkap dengan nomor tujuan di address bar.

Fitur tersebut memang disediakan oleh WhatsApp dengan nama Click to Chat. Namun, fitur itu ternyata punya risiko cukup mengkhawatirkan bagi privasi pengguna.

Menurut Athul Jayaram, seorang analis keamanan siber yang sering mencari bug aplikasi lewat program bug-bounty, nomor ponsel yang diketik saat menggunakan fitur click to chat, bisa diindeks oleh mesin pencarian Google.

Baca juga: Inilah yang Banyak Di-googling Orang Indonesia Saat Pandemi Corona

Jayaram menyebut masalah ini merupakan bug di sistem keamanan. Menurutnya, mesin pencarian Google mencatat metadata nomor ponsel yang diketik di address bar Google.

Walhasil, nomor ponsel pengguna tidak dienkripsi, alias berbentuk teks "telanjang" tanpa enkripsi. Saat ia mencoba menggunakan deretan link pencarian khusus dari domain https://wa.me/, ia menemukan 300.000 nomor ponsel yang terindeks di Google.

"Nomor ponsel Anda terlihat di plain text di URL ini, dan setiap orang yang mendapatkan URL tersebut, bisa mengetahui nomor Anda. Anda sendiri tidak bisa menghapusnya" jelas Jayaram.

Dengan begitu, spammer atau orang yang hobi mengirim pesan spam melalui WhatsApp, lebih mudah untuk menghimpun data nomor ponsel yang valid. Skenario terburuknya, data-data nomor ponsel ini bisa dijual ke marketer yang berujung pada spam dan aksi penipuan.

Namun, ia mengatakan hasil pencarian yang muncul hanya mencakup nomor ponsel. Sementara identitas lain dari pengguna tidak ikut terumbar.

Siapa saja kontak yang terkait dengan nomor tersebut juga tetap aman. Hal itu wajar karena WhatsApp bebasis nomor ponsel untuk membuat akun, bukan email atau username.

Potensi pencurian identitas

Kabar buruk lainnya, Jayaram mengklaim bisa melihat foto profil pengguna. Apabila seorang hacker gigih mencari tahu identitas 'korban', ia bisa saja melakukan reverse image untuk menemukan foto pengguna di platform lain, kemudian mengumpulkan informasi lainnya.

Menurut Jayaram, ketika hacker bisa menemukan nomor ponsel dan alamat rumah, ia akan bisa mencuri identitas pengguna.

Baca juga: Dapat Notifikasi Nomor Telepon Anda Tidak Lagi Terdaftar di WhatsApp, Jangan Klik OK

"Kebanyakan pengguna menggunakan foto profil yang sama di media sosial lain," jelas Jayaram.

Domain wa.me sendiri dimiliki dan dikelola langsung oleh WhatsApp. Dirangkum KompasTekno dari Threat Post, fitur Click to Chat banyak digunakan bisnis kecil di seluruh dunia.

Perwakilan WhatsApp tidak menganggap masalah ini serius. WhatsApp mengatakan, pengguna seharusnya sudah paham bahwa nomor mereka bisa terumbar saat menggunakan fitur Click to Chat.

"Semua pengguna, termasuk bisnis bisa memblokir pesan yang tidak diingankan di WhatsApp," kata perwakilan WhatsApp.

Menurut Jayaram, WhatsApp bisa saja mengatasinya dengan enkripsi. Kemudian menambahkan rangkaian kode robots.txt yang pada dasarnya bisa memberi tahu mesin pencarian semacam Google agar tidak mengindeks nomor ponsel.

"Sayangnya mereka tidak melakukannya dan privasi Anda mungkin dalam bahaya," kata Jarayam.

Belum ada konfirmasi apakah WhatsApp sudah menambal celah ini atau belum. Saat KompasTekno coba memasukan keyword di kolom pencarian Google, seperti tangkapan layar berikut, hasil pencarian tidak ditemukan.

(kiri) Rangkaian kata kunci yang digunakan untuk mencoba menemukan nomor ponsel dari fitur Click to Chat yang terindeks Google. (Kanan) Namun saat dicoba KompasTekno, hasil pencarian yang dimaksud tidak ditemukan dengan langkah serupa.Threat Post (kiri) Rangkaian kata kunci yang digunakan untuk mencoba menemukan nomor ponsel dari fitur Click to Chat yang terindeks Google. (Kanan) Namun saat dicoba KompasTekno, hasil pencarian yang dimaksud tidak ditemukan dengan langkah serupa.

Memanfaatkan "peluang"

Melansir Threat Post yang mencoba menghubungi pengguna WhatsApp yang diklaim terindeks Google, beberapa pengguna mengaku tidak tahu bahwa nomor ponselnya terumbar di dunia maya.

Sebagian lain mengaku sudah tau dan memanfaatkannya untuk mempromosikan bisnis mereka.

"Nomor ponsel saya terbuka di webiste, tidak harus melibatkan WhatsApp," kata seorang pengguna yang nomornya terindeks Google.

Baca juga: Begini Cara Mengembalikan Akun WhatsApp yang Diretas

Sebelumnya, fitur WhatsApp lain juga terindikasi memiliki celah keamanan. Jordan Wildon, jurnalis media asal Jerman, DW beberapa waktu lalu menemukan bahwa fitur invite link yang digunakan untuk mengundang orang bergabung ke sebuah grup.

Ia mengatakan bahwa tautan undangan bisa tersebar luas di internet, termasuk terindeks Google. Itu berarti, siapapun orang yang menemukan tautan tersebut bisa masuk dalam grup.

Hal ini serupa dengan kejadian zoomboombing, di mana siapapun bisa masuk ke webinar Zoom dari tautan yang terpampang di internet.

Menurut Google, pihaknya tidak bisa menghapus URL yang terpampang di web. Hanya webmaster saja yang bisa menghapus URL.

Jadi, meskipun URL berisi nomor ponsel atau tautan undangan sudah dihapus Google, bisa saja URL tersebut amsih bsia ditemukan di mesin pencarian lainnya.



25th

Tulis komentar dengan menyertakan tagar #JernihBerkomentar dan #MelihatHarapan di kolom komentar artikel Kompas.com. Menangkan E-Voucher senilai Jutaan Rupiah dan 1 unit Smartphone.

Syarat & Ketentuan
Berkomentarlah secara bijaksana dan bertanggung jawab. Komentar sepenuhnya menjadi tanggung jawab komentator seperti diatur dalam UU ITE
Laporkan Komentar
Terima kasih. Kami sudah menerima laporan Anda. Kami akan menghapus komentar yang bertentangan dengan Panduan Komunitas dan UU ITE.
komentar di artikel lainnya
Close Ads X