Nieśmieszny kawał

W sieci pojawiły się doniesienia o poważnym błędzie WhatsAppa, który pozwala czasowo zablokować logowanie na konto niemal dowolnej osoby na podstawie jej numeru telefonu. Wystarczy podać go podczas logowania, a następnie kilkukrotnie wpisać błędnie kod weryfikacyjny, przesyłany przez SMS-a. Podanie złego kodu powoduje zablokowanie konta na 12 godzin.

Okazuje się jednak, że można pójść nawet o krok dalej i wysłać do operatora (z dowolnego adresu) wiadomość e-mailową z prośbą o dezaktywację konta w związku z utratą urządzenia. Do uzyskania efektu znowu wystarczy znać numer telefonu ofiary. Choć w założeniu możliwość tak szybkiej blokady ma pozwolić na szybkie zabezpieczenie przed włamywaczami, jest to broń obosieczna.

Nie żartujmy

Facebook prawdopodobnie zakłada, że nikt nie będzie chciał blokować czyjegoś konta bez szansy osiągnięcia z tego tytułu wymiernych korzyści (takie działanie w żaden sposób nie daje dostępu do prywatnych danych i nie umożliwia logowania), tym niemniej brak jakiejkolwiek weryfikacji jest co najmniej niepokojący. Okazuje się bowiem, że firma w żaden sposób nie sprawdza prawdziwości zgłoszenia, lecz od razu przechodzi do blokady konta.

Pewną formą zabezpieczenia przed tym atakiem może być tylko podanie aplikacji własnego adresu e-mailowego w ustawieniach (w celu porównania go podczas zgłoszenia). Okazuje się, że nawet to nie gwarantuje jednak, że nie padniemy ofiarą czyjegoś żartu. Nie wiadomo jeszcze, czy firma w związku z ujawnieniem tego problemu zdecyduje się na jakąkolwiek reakcję.

fot. Facebook