Обнаружена серьёзная брешь в системе безопасности WhatsApp, которая может быть использована злоумышленниками, чтобы заблокировать вашу учетную запись. Единственная информация, которая нужна злоумышленнику, — это ваш номер телефона.

Сначала хакер устанавливает WhatsApp на новый телефон, используя ваш номер телефона для активации услуги. Далее WhatsApp пытается проверить, что это действительно вы, присылая код подтверждения. Однако злоумышленник  запрашивает код снова и снова, что проводит к блокировке учётной записи на 12 часов.

На следующем этапе злоумышленник отправляет электронное письмо в WhatsApp, заявляя, что его телефон (который на самом деле является вашим телефоном) был украден или утерян, и просит заблокировать учетную запись WhatsApp, связанную с этим номером.

После этого запроса WhatsApp отправляет электронное письмо, подтверждающее, что учетная запись была приостановлена, без запроса у злоумышленника какой-либо информации, которая может доказать, что запрос на приостановку учетной записи поступил от законного владельца указанной учетной записи.

Пара исследователей безопасности по имени Луис Маркес Карпинтеро (Luis Marquez Carpintero) и Эрнесто Каналес Перенья (and Ernesto Canales Perena) провели эксперимент, который доказал, что эта атака может заблокировать вам доступ к вашей учетной записи WhatsApp. При этом ваши сообщения останутся конфиденциальными.

Это ещё один тревожный способ взлома, который может затронуть миллионы пользователей. Множество людей полагаются на WhatsApp как на основной инструмент общения. Страшно, с какой легкостью это может произойти.

Джейк Мур (Jake Moore) из ESET

Компания WhatsApp пока ничего не сообщила о том, как она собирается закрыть эту дыру в системе безопасности.