Британский эксперт по кибербезопасности и сотрудник компании ESET Джейк Мур (Jake Moore) рассказал о способе блокировки любого аккаунта WhatsApp — достаточно обратиться в техподдержку с соответствующим запросом и указать телефонный номер потенциальной жертвы. В настоящее время уязвимость сервиса, возможно, закрыта.
Джейк Мур подробно изложил схему блокировки стороннего аккаунта в Twitter — уязвимость в механизме администрирования сервиса он обнаружил в справочном разделе платформы. На случай утери или кражи телефона служба техподдержки предлагает отправить на её адрес электронное письмо с просьбой заблокировать аккаунт WhatsApp и указать в теле письма номер телефона, к которому привязана учётная запись. Эксперт попросил заблокировать аккаунт на тестовом телефоне, и техподдержка мессенджера выполнила его просьбу, не проведя никаких дополнительных проверок личности. Более того, он отправил запрос с адреса электронной почты, который не имел к нему никакого отношения.
С одной стороны, это создаёт определённую угрозу для добросовестных пользователей мессенджера. С другой, это возможность подстраховаться, если телефон выкрали злоумышленники или конкуренты. Стоит также отметить, что техподдержка WhatsApp производит только блокировку учётной записи, а не её полное удаление. В течение 30 дней с этого момента её владельцу можно будет отправлять сообщения, и если он до истечения этого срока восстановит аккаунт, учётная запись продолжит работать — в противном случае она будет удалена навсегда.
Впоследствии Джейк Мур сделал ещё одну публикацию, в которой сообщил, что уязвимость, кажется, закрыта. В ответ на очередной запрос о блокировке аккаунта техподдержка WhatsApp подтвердила получение запроса и пообещала ответить, как только сможет. Или после оглашения информации об уязвимости администрацию мессенджера наводнили заявки на удаление учётных записей, или механизм блокировки аккаунтов всё-таки решили изменить.