Page Loader
व्हाट्सऐप में मिली बड़ी खामी, कोई भी सस्पेंड कर सकता था आपका अकाउंट

व्हाट्सऐप में मिली बड़ी खामी, कोई भी सस्पेंड कर सकता था आपका अकाउंट

Apr 13, 2021
03:01 pm

क्या है खबर?

व्हाट्सऐप से जुड़ी एक कमी सामने आई है, जिसकी वजह से बिना व्हाट्सऐप यूजर्स की अनुमति मिले उनका अकाउंट सस्पेंड किया जा सकता था। मेसेजिंग प्लेटफॉर्म पर कोई भी अटैकर यूजर के फोन नंबर की मदद से ऐसा कर सकता था। यानी कि यूजर को पता भी नहीं चलता और उसके व्हाट्सऐप अकाउंट का ऐक्सेस हमेशा के लिए चला जाता। इस बड़ी खामी का पता सिक्योरिटी रिसर्चर्स लूइस मरक्वेज कारपिंटेरो और अर्नेस्टो कानालेस पेरेना ने लगाया है।

खामी

यूजर्स के अकाउंट्स ब्लॉक कर सकते थे अटैकर्स

रिपोर्ट में सामने आया है कि मौजूदा लूपहोल का फायदा उठाकर अटैकर्स यूजर का व्हाट्सऐप अकाउंट ब्लॉक कर सकते थे। हालांकि, अच्छी बात यह है कि यूजर्स के अकाउंट का ऐक्सेस अटैकर्स को नहीं मिला था, यानी उनके पर्सनल मेसेजेस और चैट्स पूरी तरह सुरक्षित हैं। इस तरह का अटैक होने के बाद यूजर्स अपना व्हाट्सऐप अकाउंट ऐक्सेस नहीं कर सकते थे और अटैकर उनका अकाउंट लॉक या सस्पेंड करवा सकता था।

तरीका

ऐसे अकाउंट लॉक कर सकते थे अटैकर्स

व्हाट्सऐप की खामी का फायदा उठाने के लिए अटैकर्स सबसे पहले अपने अकाउंट पर व्हाट्सऐप डाउनलोड करते थे और फिर विक्टिम के फोन नंबर की मदद से लॉगिन करने की कोशिश करते थे। इसके बाद टू-फैक्टर ऑथेंटिकेशन के लिए व्हाट्सऐप विक्टिम के नंबर पर लॉगिन कोड भेजता था, जिसका ऐक्सेस ना होने के चलते अटैकर्स लॉगिन नहीं कर पाते थे। अटैकर्स बार-बार गलत कोड एंटर करते थे, जिसके बाद व्हाट्सऐप अकाउंट 12 घंटे के लिए लॉक हो जाता था।

ईमेल

व्हाट्सऐप को ईमेल भेजकर अकाउंट बंद करते थे अटैकर्स

अकाउंट लॉक होने के बाद अटैकर्स नए ईमेल एड्रेस से व्हाट्सऐप सपोर्ट को ईमेल भेजते थे। अटैकर्स यह लिखकर व्हाट्सऐप अकाउंट डिऐक्टिवेट करने की मांग करते थे कि उनका (विक्टिम का) फोन चोरी हो गया है या खो गया है। फोर्ब्स की रिपोर्ट में कहा गया है, "व्हाट्सऐप को जब ऐसा ईमेल मिलता है, तो इस बात की जांच करने का कोई तरीका नहीं है कि ईमेल आपने ही भेजा है। इसके बाद व्हाट्सऐप यूजर की कन्फर्म भी नहीं करती।"

नुकसान

अकाउंट डिऐक्टिवेट कर देती थी व्हाट्सऐप

अटैकर्स की ओर से मिले ईमेल के बदले व्हाट्सऐप मान लेती थी कि विक्टिम का फोन खो चुका है या चोरी हो चुका है। इसके बाद एक ऑटोमेटेड प्रोसेस शुरू हो जाता था और अकाउंट डिऐक्टिवेट कर दिया जाता था। ईमेल के बदले अटैकर्स को इस बात का कन्फर्मेशन मिलता था कि अकाउंट सस्पेंड कर दिया गया है। हालांकि, इस खामी के चलते यूजर्स को नुकसान पहुंचने की बात सामने नहीं आई है।