Technologia – WhatsApp jest niewątpliwie jednym z najpopularniejszych komunikatorów na całym świecie, nie tylko ze względu na pełne szyfrowanie end-to-end (E2EE). Jednak samo E2EE nie wystarczy, aby zapewnić bezpieczeństwo użytkownikom. Podczas gdy usługi wciąż ewoluują i mają coraz mniej luk w zabezpieczeniach, ostatnio odkryto szczególnie niepokojący problem. Każdy mógł usunąć konto WhatsApp innego użytkownika za pomocą jednego maila.
Czytaj także: WhatsApp wprowadził zasadę 15 minut. To ważna zmiana dla użytkowników
Zwykle WhatsApp oferuje opcję zdalnej dezaktywacji konta w przypadku kradzieży głównego telefonu i braku dostępu do aplikacji. Zgodnie z zasadami firmy, wszystko co musisz zrobić, to wysłać wiadomość e-mail z tematem „Zguba/kradzież: Proszę o dezaktywację mojego konta” i pełny międzynarodowy numer telefonu, aby poprosić o dezaktywację. System ten mógłby działać dla firmy posiadającej tylko kilka kont użytkowników, ale nie dla WhatsApp, z którego korzystają miliony osób.
Przestępcy usuwają konta WhatsApp za pomocą jednego maila
Proces dezaktywacji WhatsApp jest w pełni zautomatyzowany i nie sprawdza, czy nadawca wiadomości e-mail jest faktycznie właścicielem konta, które ma zostać dezaktywowane. W takim scenariuszu łatwo sobie wyobrazić, jak osoba znająca numer telefonu użytkownika może utworzyć tymczasowy adres e-mail i zażądać dezaktywacji konta bez jego wiedzy.
Profesjonalni cyberprzestępcy mogą pójść o krok dalej i wykorzystać ten system na dużą skalę, wykorzystując zautomatyzowane skrypty do arbitralnego wyłączania kont WhatsApp. Poprzez powtarzające się ataki typu „odmowa usługi” (DOS) mogą zmusić niewinne ofiary do zapłacenia za dostęp do ich konta. Mogą również wykraść informacje kontaktowe, aby zaatakować więcej osób lub po prostu usunąć rozmowy, których nie można przywrócić bez aktualnej kopii zapasowej WhatsApp.
Meta zareagowała
Na szczęście Meta rozpoznała tę lukę – prawdopodobnie również z powodu dużej liczby żądań dezaktywacji. Natychmiastowa dezaktywacja konta została tymczasowo zawieszona. Jeśli padłeś ofiarą takiego ataku, możesz odzyskać swoje zdezaktywowane konto i wszystkie nieprzeczytane wiadomości w ciągu 30 dni, zgodnie z zasadami firmy.
Czytaj także: Jak najszybciej usuń te aplikacje ze swojego telefonu. Kradną twoje dane
CHIP.de, PolskiObserwator.de