WhatsApp में बग मिलना अब कोई नई बात नहीं है. समय समय पर इस इंस्टैंट मैसेजिंग ऐप में कुछ खामियां मिलती रहती हैं. ताजा रिपोर्ट ये है कि WhatsApp के हजारों यूजर्स का फोन नंबर लीक हो रहा है. अतुल जयराम नाम के एक रिसर्चर हैं जिन्होंने ये दावा किया है.
अतुल के मुताबिक WhatsApp Web पोर्टल से 29000-30000 वॉट्सऐप यूजर्स का मोबाइल नंबर लीक हो गया है. उनके मुताबिक हैरानी की बात ये है कि ये नंबर वॉट्सऐप पोर्टल से प्लेन टेक्स्ट में लीक हुआ है, यानी इसे कोई भी इंटरनेट यूजर आसानी से ऐक्सेस कर सकते हैं.
इस मामले पर वॉट्सऐप का स्टेटमेंट आ गया है.
WhatsApp के एक प्रवक्ता ने हमें ई-मेल के जरिए भेजे गए एक स्टेटमेंट में कहा है, ‘हमारा क्लिक टु चैट फीचर जिसके जरिए यूजर्स अपने फोन नंबर का URL तैयार कर सकते हैं ताकि कोई भी उन्हें मैसेज कर सके. ये फीचर दुनिया भर में छोटे बिजनेस अपने कस्टमर्स से कनेक्ट होने के लिए यूज किया जाता है.’
हालांकि वॉट्सऐप ने कहा है कि रिसर्चर द्वारा किए गए रिपोर्ट की प्रशंसा करते हैं, लेकिन ये बाउंटी के लिए योग्य नहीं है. चूंकि इसमें उस WhatsApp URL का सर्च इंजन इंडेक्स है जो वॉट्सऐप यूजर्स खुद से ही पब्लिक करते हैं. बिजनेस यूजर्स सहित सभी वॉट्सऐप यूजर्स एक टैप से अनचाहे मैसेज को ब्लॉक कर सकते हैं.
क्या है बग या खामी
गूगल पर जा कर आप एक कमांड लिखेंगे (इसके बारे में आगे हम बताएंगे) तो सर्च रिजल्ट में वॉट्सऐप यूजर्स के फोन नंबर दिखेंगे. आप यहां से सीधे उन्हें मैसेज या कॉल कर सकते हैं.
अगर आपको याद होगा तो पहले फोन नंबर के जरिए फेसबुक पर यूजर अकाउंट सर्च किए जा सकते थे, लेकिन प्राइवेसी कंसर्न की वजह से कंपनी ने इसे पिछले साल ही हटा लिया था. WhatsApp में कुछ ही समय पहले एक नया फीचर आया है. इसके तहत QR कोड स्कैन करके वॉट्सऐप कॉन्टैक्ट्स ऐड कर सकते हैं.
साइबर सिक्योरिटी रिसर्चर अतुल ने इस बारे में विस्तार से बताया है. दरअसल वॉट्सऐप का एक फीचर है जो एक लिंक के तौर पर किसी को भेजा जाता है. आप इस लिंक को क्लिक करके सीधे उस यूजर से चैट कर सकते हैं. इस फीचर के तहत इस लिंक में यूजर का फोन नंबर एन्क्रिप्ट नहीं किया जाता है. अब यही वजह है कि फोन नंबर प्लेन टेक्स्ट में कहीं भी शेयर हो सकता है.
उदाहरण के तौर पर अगर आप अपने वॉट्सऐप का लिंक अपने किसी जानने वाले के साथ ट्विटर पर शेयर करते हैं तो इसके URL में आपका फोन नंबर प्लेनटेक्स्ट में दिखेगा और URL डिकोड करके फोन नंबर को समझा जा सकता है.
अब अगर आपने अपने दोस्त के साथ उस लिंक को शेयर करके डिलीट भी कर लिया है तो गूगल के बॉट उस URL को क्रॉल कर कर लेंगे और वो फिर हमेशा वेब पर रहेगा. चूंकि यहां वॉट्सऐप ने कोई ऐसा प्रावधान नहीं रखा है जिससे गूगल के बॉट इससे क्रॉल ही न कर सकें.
आम तौर पर noindex met tags इसलिए यूज किए जाते हैं ताकि इस लिंक को कोई सर्च इंजन इंडेक्स न कर सके.
अतुल ने मीडियम के एक पोस्ट में कई स्क्रीनशॉट भी शेयर किए हैं. इसमें भारत सहित अलग अलग देशों के फोन नंबर गूगल सर्च में दिखाई दे रहे हैं. इसके लिए उन्होंने site:wa.me “+91” कीवर्ड का यूज किया है. Wa.me वो यूआरएल का कीवर्ड है जो वॉट्सऐप जेनेरेट करता है. यहां 91 इंडिया का कोड है. इसी तरह यहां किसी और देश का कोड लिख कर सर्च कर सकते हैं.
इसके कई खतरे हो सकते हैं, अगर आपने इस लिंक का इस्तेमाल किया है तो आपका नंबर गूगल पर है. कोई भी गलत इरादे से आपका नंबर हासिल कर सकता है. फोन नंबर से आपके बैंक अकाउंट्स से लेकर कई तरह के ऑनलाइन अकाउंट्स जुड़े हो सकते हैं जिसे हैकर्स निशाना बना कर आपको ठग भी सकते हैं.
इस रिसर्चर ने वॉट्सऐप के इस बग के बारे में फेसबुक को रिपोर्ट भेजी. हालांकि फेसबुक ने रिप्लाई किया कि वॉट्सऐप फिलहाल डेटा अब्यूज बाउंटी प्रोग्राम के तहत नहीं आता है.
इस कॉपी को WhatsApp के स्टेमेंट के साथ अपडेट कर दिए गया है.