安全是有分量的

ddos清洗_高防御能挡战士的烈火_精准

2022-06-23 14:10栏目:商业圈

ddos清洗_高防御能挡战士的烈火_精准

谷歌正在为WhatsApp上使用的电话号码编制索引,vps被Cc怎么防御,一位研究人员担心这可能会导致隐私问题或被用于恶意目的。

今年早些时候,Bleeping Computer报道了如何在谷歌上看到WhatsApp和Telegram等私人短信应用组的邀请链接,允许任何人加入这些组。

本周,安全研究员Athul Jayaram强调了WhatsApp的"wa.me"域名在谷歌上泄露联系电话号码的问题。

"哇"。"我"域名归WhatsApp所有,用于承载"点击聊天"链接,该链接"允许您开始与某人聊天,而无需将其电话号码保存在您手机的通讯簿中。"

正如Jayaram所述,并经BleepingComputer确认,"wa.me"或"api.whatsapp.com"域上没有"robots.txt"文件指示搜索引擎不要在网站上抓取电话号码。

因此,以""开头的链接https://wa.me/"被谷歌和其他搜索引擎编入索引并出现在搜索结果中。

"当个人电话号码被泄露时,攻击者可以给他们发短信、打电话、将他们的电话号码卖给营销人员、垃圾邮件发送者、骗子,"Jayaram告诉Threatpost,Threatpost透露了这个故事。

点击后,这些链接重定向到"api"。WhatsAppcom"页面,允许用户与WhatsApp用户"继续聊天"。

虽然这可能是一个潜在的隐私问题,特别是如果垃圾邮件发送者能够获得谷歌索引的合法WhatsApp号码,并直接在WhatsApp上向您发送文本,这不一定是一个bug。

作为测试,我创建了一个假的使用假电话号码链接。

正如您在下面看到的,对网,这将我重定向到api。WhatsApp通信/发送?phone=11111链接,如下所示。此链接显示了相同的登录页,给人的印象是该号码是有效的WhatsApp联系人,即使它不是。

这意味着垃圾邮件发送者不能简单地利用此功能"列举"合法的WhatsApp号码。

也许正是出于这个原因,Facebook拒绝了Jayaram在这个问题上提交的bug赏金报告:

贾亚拉姆告诉记者:"虽然我们很欣赏这位研究人员的报告,也很重视他花了多少时间与我们分享这份报告,但这份报告没有资格获得赏金,抗ddos防御,因为它只包含了WhatsApp用户选择公开的URL的搜索引擎索引。所有WhatsApp用户,包括企业,只需点击一个按钮就可以阻止不需要的消息。"威胁柱

此外,值得注意的是,所有合法电话号码的目录,无论他们是否拥有WhatsApp/电报帐户,都会发布在网络上。

这种做法已经持续了几十年之久,甚至在短信应用出现之前,谷歌就已经可以为这些数字编制索引了。

因此,在网络上发布一个电话号码不会自动链接到个人身份信息或密码。

贾亚拉姆仍然认为,电话号码的公开索引可能会带来安全风险或隐私风险,因为我们的许多在线服务都与我们的电话号码有关。

研究人员建议WhatsApp使用机器人。txt文件,防止谷歌抓取这些结果,并加密用户的手机号码。

"不幸的是,他们还没有这样做,你的隐私可能会受到威胁,"他说。"今天,您的手机号码与您的比特币钱包、Adhaar、银行账户、UPI、信用卡相链接……[允许]攻击者通过知道您的手机号码进行SIM卡交换和克隆攻击是另一种可能性,"Jayaram说在这种情况下,不完全清楚"加密"手机号码是什么意思,但可能是用随机字符串混淆数字,比如这一位。ly网址https://bit.ly/2Mxb5Hp,高防cdn目标客户,将重定向到BleepingComputer。

不幸的是,目前,如何设置ddos防御,WhatsApp没有提供一种方法来将您的电话号码保密。

那些担心它被编入索引的人应该从谷歌语音或其他类似服务获得一个虚拟电话号码。