ИБ-эксперт словацкой компании по информационной безопасности ESET Джейк Мур обнаружил способ деактивировать любую учётную запись WhatsApp. Для этого пользователю необходимо написать в техническую поддержку сервиса и предоставить номер телефона, привязанный к учётной записи.
Джейк Мур утверждает, что обнаружил уязвимость в системе администрирования платформы. В частности, справочный раздел платформы гласит, что если пользователь потерял свой смартфон или его украли, то он может попросить техническую поддержку заблокировать его учётную запись в WhatsApp, отправив email-письмо со своим номером телефона.
Эксперимент, проведенный специалистов по кибербезопасности, наглядно показал, что техническая поддержка мессенджера действительно блокирует учётную запись без проведения какой-либо дополнительной проверки, даже если запрос отправлен с email-адреса, который никак не связан с учётной записью.
По словам специалистов по информационной безопасности из ESET, такая практика представляет собой большую опасность для обычных пользователей WhatsApp, но может быть полезной для тех, кто действительно столкнулся с кражей телефона или шпионажем.
При этом указывается, что техническая поддержка мессенджера блокирует аккаунт пользователя после получения соответствующего запроса, но не удаляет его сразу. Владельцы учётной записи продолжают получать сообщения от других пользователей, и в течение 30 дней имеют возможность восстановить свой аккаунт. Если восстановление не происходит в течение 30 дней, учётная запись удаляется навсегда.
Через несколько часов после публикации Джейк Мур написал на своей странице в Twitter, что, вероятно, обнаруженная им уязвимость уже устранена. Он попытался провести ещё один эксперимент, но техническая поддержка WhatsApp сообщила ему, что ответ на его запрос будет дан позже. Возможно, после публичного раскрытия этой уязвимости, техподдержка мессенджера получила большое количество заявок на блокировку учётных записей, или механизм блокирования был скорректирован.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.