By zablokować dowolne konto, wystarczy znać numer telefonu jego użytkownika.
W sieci pojawiły się doniesienia o poważnym błędzie WhatsAppa, który pozwala czasowo zablokować logowanie na konto niemal dowolnej osoby na podstawie jej numeru telefonu. Wystarczy podać go podczas logowania, a następnie kilkukrotnie wpisać błędnie kod weryfikacyjny, przesyłany przez SMS-a. Podanie złego kodu powoduje zablokowanie konta na 12 godzin.
Okazuje się jednak, że można pójść nawet o krok dalej i wysłać do operatora (z dowolnego adresu) wiadomość e-mailową z prośbą o dezaktywację konta w związku z utratą urządzenia. Do uzyskania efektu znowu wystarczy znać numer telefonu ofiary. Choć w założeniu możliwość tak szybkiej blokady ma pozwolić na szybkie zabezpieczenie przed włamywaczami, jest to broń obosieczna.
Facebook prawdopodobnie zakłada, że nikt nie będzie chciał blokować czyjegoś konta bez szansy osiągnięcia z tego tytułu wymiernych korzyści (takie działanie w żaden sposób nie daje dostępu do prywatnych danych i nie umożliwia logowania), tym niemniej brak jakiejkolwiek weryfikacji jest co najmniej niepokojący. Okazuje się bowiem, że firma w żaden sposób nie sprawdza prawdziwości zgłoszenia, lecz od razu przechodzi do blokady konta.
Pewną formą zabezpieczenia przed tym atakiem może być tylko podanie aplikacji własnego adresu e-mailowego w ustawieniach (w celu porównania go podczas zgłoszenia). Okazuje się, że nawet to nie gwarantuje jednak, że nie padniemy ofiarą czyjegoś żartu. Nie wiadomo jeszcze, czy firma w związku z ujawnieniem tego problemu zdecyduje się na jakąkolwiek reakcję.
0 komentarzy