टेक्नोलॉजी

व्हाट्सऐप में मिली बड़ी खामी, कोई भी सस्पेंड कर सकता था आपका अकाउंट

लेखन

प्राणेश तिवारी

Mail

अंतिम अपडेट Apr 13, 2021, 03:01 pm

व्हाट्सऐप से जुड़ी एक कमी सामने आई है, जिसकी वजह से बिना व्हाट्सऐप यूजर्स की अनुमति मिले उनका अकाउंट सस्पेंड किया जा सकता था।

मेसेजिंग प्लेटफॉर्म पर कोई भी अटैकर यूजर के फोन नंबर की मदद से ऐसा कर सकता था। यानी कि यूजर को पता भी नहीं चलता और उसके व्हाट्सऐप अकाउंट का ऐक्सेस हमेशा के लिए चला जाता।

इस बड़ी खामी का पता सिक्योरिटी रिसर्चर्स लूइस मरक्वेज कारपिंटेरो और अर्नेस्टो कानालेस पेरेना ने लगाया है।

इस खबर में

• यूजर्स के अकाउंट्स ब्लॉक कर सकते थे अटैकर्स
• ऐसे अकाउंट लॉक कर सकते थे अटैकर्स
• व्हाट्सऐप को ईमेल भेजकर अकाउंट बंद करते थे अटैकर्स
• अकाउंट डिऐक्टिवेट कर देती थी व्हाट्सऐप

खामी

यूजर्स के अकाउंट्स ब्लॉक कर सकते थे अटैकर्स

रिपोर्ट में सामने आया है कि मौजूदा लूपहोल का फायदा उठाकर अटैकर्स यूजर का व्हाट्सऐप अकाउंट ब्लॉक कर सकते थे।

हालांकि, अच्छी बात यह है कि यूजर्स के अकाउंट का ऐक्सेस अटैकर्स को नहीं मिला था, यानी उनके पर्सनल मेसेजेस और चैट्स पूरी तरह सुरक्षित हैं।

इस तरह का अटैक होने के बाद यूजर्स अपना व्हाट्सऐप अकाउंट ऐक्सेस नहीं कर सकते थे और अटैकर उनका अकाउंट लॉक या सस्पेंड करवा सकता था।

तरीका

ऐसे अकाउंट लॉक कर सकते थे अटैकर्स

व्हाट्सऐप की खामी का फायदा उठाने के लिए अटैकर्स सबसे पहले अपने अकाउंट पर व्हाट्सऐप डाउनलोड करते थे और फिर विक्टिम के फोन नंबर की मदद से लॉगिन करने की कोशिश करते थे।

इसके बाद टू-फैक्टर ऑथेंटिकेशन के लिए व्हाट्सऐप विक्टिम के नंबर पर लॉगिन कोड भेजता था, जिसका ऐक्सेस ना होने के चलते अटैकर्स लॉगिन नहीं कर पाते थे।

अटैकर्स बार-बार गलत कोड एंटर करते थे, जिसके बाद व्हाट्सऐप अकाउंट 12 घंटे के लिए लॉक हो जाता था।

ईमेल

व्हाट्सऐप को ईमेल भेजकर अकाउंट बंद करते थे अटैकर्स

अकाउंट लॉक होने के बाद अटैकर्स नए ईमेल एड्रेस से व्हाट्सऐप सपोर्ट को ईमेल भेजते थे।

अटैकर्स यह लिखकर व्हाट्सऐप अकाउंट डिऐक्टिवेट करने की मांग करते थे कि उनका (विक्टिम का) फोन चोरी हो गया है या खो गया है।

फोर्ब्स की रिपोर्ट में कहा गया है, "व्हाट्सऐप को जब ऐसा ईमेल मिलता है, तो इस बात की जांच करने का कोई तरीका नहीं है कि ईमेल आपने ही भेजा है। इसके बाद व्हाट्सऐप यूजर की कन्फर्म भी नहीं करती।"

नुकसान

अकाउंट डिऐक्टिवेट कर देती थी व्हाट्सऐप

अटैकर्स की ओर से मिले ईमेल के बदले व्हाट्सऐप मान लेती थी कि विक्टिम का फोन खो चुका है या चोरी हो चुका है।

इसके बाद एक ऑटोमेटेड प्रोसेस शुरू हो जाता था और अकाउंट डिऐक्टिवेट कर दिया जाता था।

ईमेल के बदले अटैकर्स को इस बात का कन्फर्मेशन मिलता था कि अकाउंट सस्पेंड कर दिया गया है।

हालांकि, इस खामी के चलते यूजर्स को नुकसान पहुंचने की बात सामने नहीं आई है।