WhatsApp to popularny komunikator, który zdobył serca wielu użytkowników. W aplikacji odnaleziono lukę, przez którą można było utracić dostęp do konta. Co więcej, okazała się ona niezwykle prosta w wykorzystaniu.
Jak stracić konto na WhatsAppie w kilka chwil?
Można by pomyśleć, że skoro tytułowy komunikator wspiera pełne szyfrowanie end-to-end, to nie ma czym się przejmować. Nic bardziej mylnego – sama luka ma związek z możliwością zdalnego zdezaktywowania konta w przypadku zgubienia lub kradzieży smartfona.
Problem jest o tyle poważny, że nieupoważniona osoba, znając nasz numer telefonu, mogła z dowolnego adresu e-mail dezaktywować nasze konto. Tak, dany e-mail nie musiał być nawet z nim powiązany. Dawało to ogromną szansę na losowe blokady kont, co mogłoby wywołać frustrację i niezadowolenie wśród użytkowników.
Na szczęście twórcy WhatsAppa odkryli tę wadę i tymczasowo wyłączyli funkcję natychmiastowej dezaktywacji konta po otrzymaniu zgłoszenia. Pozwoli to im na dogłębne przyjrzenie się problemowi, choć taki stan może również oznaczać nienaturalnie wysoką liczbę zgłoszeń o wyłączenie konta.
Meta w pewien sposób dała otwartą furtkę dla oszustów, ponieważ nie było konieczności potwierdzania tożsamości oraz tego, czy nadawca dezaktywacyjnego e-maila jest faktycznym właścicielem konta. Nie powinno to tak wyglądać.
Dziwi brak zastosowania swego rodzaju uwierzytelniania w funkcjach tego typu. Oszuści mogliby wykorzystać taką sytuację do zmasowanych ataków i wymuszeń zapłaty. Gdyby nie prawdopodobnie szybka reakcja firmy z Kalifornii, skutki byłyby znacznie poważniejsze. Przykładowo taka luka to idealna okazja to stosowania ataków DOS/DDOS powodujących odmowę dostępu.
Co zrobić, gdy padło się ofiarą ataku?
Dla ofiar, którym zdezaktywowano konto w opisany powyżej sposób, mamy dobrą wiadomość – można je bez problemu odzyskać. Tak wynika z oficjalnej dokumentacji pomocy technicznej. Globalny doradca firmy ESET ds. cyberbezpieczeństwa, Jake Moore, zasugerował, aby WhatsApp włączył ponownie funkcję dezaktywacji kont, jednakże akceptował prośby związane z tą czynnością jedynie z adresów e-mail powiązanych z danymi kontami komunikatora. Dodatkowo jego zdaniem weryfikacja dwuetapowa powinna być obowiązkowa, a nie jak do tej pory – jedynie opcjonalna.
Na ten moment pozostaje czekać na rozwój sytuacji i załatanie luki. Firma Meta podcięła skrzydła potencjalnym oszustom i jest w trakcie rozwiązywania problemu tak, aby użytkownicy nie obawiali się, że w każdej chwili mogą stracić swoje konto.