Se você usa o WhatsApp, é importante estar atento a um ataque que pode ser realizado por cibercriminosos por meio do bloqueio de conta usando apenas o número de telefone da vítima. A falha de segurança utiliza um lapso na segurança de dois processos independentes do WhatsApp, explica a revista Forbes em um artigo que cita uma pesquisa de Luis Márquez Carpintero e Ernesto Canales Pereña.
Ao passar por primeira vez pelo processo de configuração de sua conta do WhatsApp em um dispositivo, seu número de telefone é solicitado para enviar um código de verificação. Depois de inserir o código, a chave de autenticação em dois fatores (2FA) também é solicitada para a confirmação de identidade.
No entanto, não há como impedir que alguém use seu número no processo de verificação. Caso um criminoso resolva fazer isso, você receberá chamadas e mensagens do WhatsApp com um código de verificação junto com uma notificação solicitando que não compartilhe o código de registro com ninguém. O criminoso pode fazer isso repetidamente, e você pode não dar importância às mensagens por considerar que se trata de um bug.
Essas solicitações acabam acionando o limite do WhatsApp para o número de vezes que os códigos podem ser enviados e fazendo com que o código seja bloqueado após várias tentativas malsucedidas, em ambos os casos por 12 horas. Durante esse tempo, o aplicativo em seu telefone continuará funcionando normalmente, mas o cibercriminoso terá bloqueado a capacidade de enviar um novo código ou inserir um código na tela de verificação. Portanto, seu tempo de inatividade pode não afetá-lo, a menos que você efetue logout durante esse período.
Na próxima etapa, o cibercriminoso cria um endereço de e-mail e envia uma mensagem para a equipe de suporte do WhatsApp com o assunto "telefone perdido/roubado", solicitando a desativação do seu número. Aparentemente, a plataforma verifica a "identidade" do cibercriminoso apenas enviando um e-mail automático que solicite o número de telefone do usuário, uma informação que pode ser enviado pelo criminoso que se faz passar pelo usuário legítimo. Logo em seguida, o WhatsApp desativa a sua conta. E como o limite de tentativas de verificação foi excedido, você não poderá fazer login durante 12 horas e até que volte a solicitar o código de verificação.
Infelizmente, caso o cibercriminoso persista nesse processo, que dispara o bloqueio de 12 horas, três vezes consecutivas, o WhatsApp falhará e, em vez de pedir ao usuário para "tentar novamente após 12 horas", exibirá uma mensagem que diz “tente novamente após -1 segundo”. Segundo pesquisadores, se o cibercriminoso esperar até esse momento, não há como recuperar sua conta, a menos que você encontre alguém no WhatsApp disposto a ajudar.
Em entrevistas à Forbes, um porta-voz do WhatsApp disse que “fornecer um endereço de e-mail e ativar a autenticação em dois fatores contribui para que a nossa equipe de atendimento ao cliente possa ajudar aos usuários em caso de que tenham esse tipo de problema. As circunstâncias identificadas por esse pesquisador violariam nossos termos de serviço e orientamos a qualquer pessoa que precise de ajuda a enviar um e-mail para nossa equipe de suporte para que possamos investigar o caso".
O problema chamou a atenção do especialista em segurança da ESET, Jake Moore, que recentemente mostrou como alguém pode assumir o controle de sua conta do WhatsApp apenas sabendo seu número de telefone. Moore advertiu que a nova falha não deve ser desconsiderada, especialmente porque pode afetar milhões de usuários e é relativamente fácil de corrigir.
“Não há como optar por não ser descoberto no WhatsApp”, disse ele. “Qualquer pessoa pode digitar um número de telefone para ver se há uma conta associada. Idealmente, uma mudança para melhorar a privacidade ajudaria a proteger os usuários contra isso, além de forçar as pessoas a implementar um PIN de verificação em duas etapas".