व्हाट्सऐप में मिली बड़ी खामी, कोई भी सस्पेंड कर सकता था आपका अकाउंट
क्या है खबर?
व्हाट्सऐप से जुड़ी एक कमी सामने आई है, जिसकी वजह से बिना व्हाट्सऐप यूजर्स की अनुमति मिले उनका अकाउंट सस्पेंड किया जा सकता था।
मेसेजिंग प्लेटफॉर्म पर कोई भी अटैकर यूजर के फोन नंबर की मदद से ऐसा कर सकता था। यानी कि यूजर को पता भी नहीं चलता और उसके व्हाट्सऐप अकाउंट का ऐक्सेस हमेशा के लिए चला जाता।
इस बड़ी खामी का पता सिक्योरिटी रिसर्चर्स लूइस मरक्वेज कारपिंटेरो और अर्नेस्टो कानालेस पेरेना ने लगाया है।
खामी
यूजर्स के अकाउंट्स ब्लॉक कर सकते थे अटैकर्स
रिपोर्ट में सामने आया है कि मौजूदा लूपहोल का फायदा उठाकर अटैकर्स यूजर का व्हाट्सऐप अकाउंट ब्लॉक कर सकते थे।
हालांकि, अच्छी बात यह है कि यूजर्स के अकाउंट का ऐक्सेस अटैकर्स को नहीं मिला था, यानी उनके पर्सनल मेसेजेस और चैट्स पूरी तरह सुरक्षित हैं।
इस तरह का अटैक होने के बाद यूजर्स अपना व्हाट्सऐप अकाउंट ऐक्सेस नहीं कर सकते थे और अटैकर उनका अकाउंट लॉक या सस्पेंड करवा सकता था।
तरीका
ऐसे अकाउंट लॉक कर सकते थे अटैकर्स
व्हाट्सऐप की खामी का फायदा उठाने के लिए अटैकर्स सबसे पहले अपने अकाउंट पर व्हाट्सऐप डाउनलोड करते थे और फिर विक्टिम के फोन नंबर की मदद से लॉगिन करने की कोशिश करते थे।
इसके बाद टू-फैक्टर ऑथेंटिकेशन के लिए व्हाट्सऐप विक्टिम के नंबर पर लॉगिन कोड भेजता था, जिसका ऐक्सेस ना होने के चलते अटैकर्स लॉगिन नहीं कर पाते थे।
अटैकर्स बार-बार गलत कोड एंटर करते थे, जिसके बाद व्हाट्सऐप अकाउंट 12 घंटे के लिए लॉक हो जाता था।
ईमेल
व्हाट्सऐप को ईमेल भेजकर अकाउंट बंद करते थे अटैकर्स
अकाउंट लॉक होने के बाद अटैकर्स नए ईमेल एड्रेस से व्हाट्सऐप सपोर्ट को ईमेल भेजते थे।
अटैकर्स यह लिखकर व्हाट्सऐप अकाउंट डिऐक्टिवेट करने की मांग करते थे कि उनका (विक्टिम का) फोन चोरी हो गया है या खो गया है।
फोर्ब्स की रिपोर्ट में कहा गया है, "व्हाट्सऐप को जब ऐसा ईमेल मिलता है, तो इस बात की जांच करने का कोई तरीका नहीं है कि ईमेल आपने ही भेजा है। इसके बाद व्हाट्सऐप यूजर की कन्फर्म भी नहीं करती।"
नुकसान
अकाउंट डिऐक्टिवेट कर देती थी व्हाट्सऐप
अटैकर्स की ओर से मिले ईमेल के बदले व्हाट्सऐप मान लेती थी कि विक्टिम का फोन खो चुका है या चोरी हो चुका है।
इसके बाद एक ऑटोमेटेड प्रोसेस शुरू हो जाता था और अकाउंट डिऐक्टिवेट कर दिया जाता था।
ईमेल के बदले अटैकर्स को इस बात का कन्फर्मेशन मिलता था कि अकाउंट सस्पेंड कर दिया गया है।
हालांकि, इस खामी के चलते यूजर्स को नुकसान पहुंचने की बात सामने नहीं आई है।