З’ясувалося, що популярний месенджер дозволяє блокувати аккаунт користувача, маючи лише його номер телефону. Таким чином, знаючи номер користувача, зловмисник може повністю зупинити активність його облікового запису.
Працює це таким чином: зловмисник закачує WhatsApp на нове обладнання й вводить номер користувача, якого хоче заблокувати, видаючи його за свій. В цей час на смартфон користувача, за допомогою двофакторної аутентифікації, приходять коди на вхід. Звичайно ж, зловмисник не зможе їх побачити, проте зробити невдалі спроби введення – цілком. Згодом, після низки невдалих спроб, логін користувача буде заблокований на 12 годин.
Причому далі зловмисник може звернутися в підтримку месенджера зі своєї електронної пошти, видаючи себе за користувача, повідомити про втрату або крадіжку смартфона, і попросити її заблокувати. Далі WhatsApp “перевіряє” цю інформацію за допомогою відправки відповідного електронного листа і блокує акаунт. Варто зазначити, що хоч проблема і серйозна, вона не може привести до того, що чати користувачів виявляться в доступі у зловмисників.