Специалисты по кибербезопасности из компании ESET обнаружили в популярном мессенджере WhatsApp серьезную уязвимость, которой с легкостью могут воспользоваться злоумышленники для кражи и удаления аккаунта. Пострадать могут миллионы пользователей, сообщают в компании.

Для того, что бы «хакнуть» аккаунт, достаточно ударить в два слабых места в архитектуре безопасности мессенджера — привязке к номеру телефона и запросу на блокировку аккаунта через простое письмо в техподдержку.

Для реализации несанкционированной блокировки хакеру достаточно ввести в WhatsApp номер жертвы, после которого идет верификация шестизначным кодом. Вводя заведомо неверные цифры несколько раз, мессенджер автоматически блокирует возможность запроса кода на 12 часов.

После этого злоумышленник пишет в службу поддержки письмо с просьбой деактивировать аккаунт, по причине, например, утраты телефона. Брешь в системе безопасности в том,  что на запрос отвечает бот, и идентификации личности не происходит.

По истечении 30-и дней блокировки, аккаунт жертвы удаляется. Его можно спасти, введя все тот же проверочный код. Напомним, что первые 12 часов после блокировки этого сделать нельзя. Если злоумышленник продолжит атаковать аккаунт 12-и часовой блокировкой на протяжении месяца, то жертва ничего не сможет поделать.

Ранее АБН сообщало, что «ВКонтакте» заблокировал официальную страницу ФСИН.