Especialista alerta para brecha do WhatsApp que facilitava desativação de contas
Processo simplificado permitia desativações de contas do WhatsApp com apenas um e-mail; brecha, no entanto, já foi corrigidaBy - Igor Shimabukuro, 18 julho 2023 às 13:14
Muitas das vezes, desativar a conta WhatsApp é uma das primeiras coisas feitas ao ter um smartphone roubado ou perdido. O único ponto é que a facilidade do processo abriu uma brecha para que atores mal intencionados inibissem qualquer conta do mensageiro remotamente. E o pior: com apenas um e-mail.
A descoberta foi feita pelo consultor global de segurança cibernética da ESET, Jake Moore. E na última segunda-feira (17), o ex-chefe da polícia forense digital foi ao Twitter para questionar o aplicativo da Meta sobre essa facilidade na desativação de contas.
“Então deixe me entender direito, @Whatsapp: posso digitar QUALQUER número e você vai desativar essa conta?”, questionou o especialista.
So let me get this right, @WhatsApp, I can type in ANY number and you will deactivate that account? ? pic.twitter.com/wsGfSgTJag
— Jake Moore (@JakeMooreUK) July 17, 2023
O questionamento faz sentido. Até porque Moore descobriu que a página oficial de suporte do mensageiro instruía usuários que tiveram seus dispositivos comprometidos a redigirem um e-mail com a frase “Lost/Stolen:Please deactivate my account” (“Perdido/Roubado: Por favor, desative minha conta”, em tradução livre) para uma desativação instantânea.
Mas é aí que estava o problema: um simples e-mail contendo a frase e o número do dispositivo ocasionaria na desativação. Mesmo tratando-se de um número de WhatsApp alheio e de um e-mail redigido por um remetente não associado à conta.
É verdade que a conta só seria excluída se o usuário não a reativasse após o período de 30 dias. E que a facilidade do processo visava celeridade na proteção de mensagens pessoais contra criminosos, parceiros abusivos ou atores mal intencionados.
Contudo, isso significava que qualquer um podia desativar uma conta de WhatsApp alheia desde que informasse o número correto.
WhatsApp contorna a brecha
A boa notícia é que a equipe do WhatsApp parece ter corrigido essa falha de segurança, principalmente após o tweet de Moore e a publicação da Forbes, que deu mais visibilidade para o impasse.
Agora, ao enviar o e-mail sobre furto/roubo com a identificação do número, uma mensagem automática de retorno exige que o remetente confirme que é o proprietário do número do dispositivo com a conta do telefone ou contrato de verificação de propriedade.
O blog KaBuM! fez o teste e confirmou que o acompanhamento da equipe de suporte, de fato, foi atualizado.
Por um lado, isso significa um pouco mais de barreiras na hora da pressa em desativar uma conta WhatsApp de um celular furtado ou perdido. Mas trata-se de algo que vale a pena, já que impede que malfeitores abusem de uma facilidade para causar dores de cabeça para usuários.
Comentários