Опция деактивации WhatsApp подвела под DoS-удар 2 млрд пользователей

Опция деактивации WhatsApp подвела под DoS-удар 2 млрд пользователей

Опция деактивации WhatsApp подвела под DoS-удар 2 млрд пользователей

Как оказалось, деактивировать WhatsApp-аккаунт письмом в техподдержку может не только владелец, но и все, у кого записан его телефон. Такую просьбу можно многократно отправлять с любого имейл-адреса и устроить своей жертве месячник отказа в обслуживании.

Деактивация учетной записи WhatsApp используется в тех случаях, когда телефон потерян или украден. Процедура проста: пользователь отправляет на адрес техподдержки письмо с ключевой фразой «потеря/кража, пожалуйста, деактивируйте аккаунт» и номером телефона, и доступ блокируется на 30 дней.

 

 

В течение этого периода контакты будут по-прежнему видеть профиль владельца и слать ему сообщения. Их можно будет потом прочесть, повторно активировав аккаунт на другом устройстве (запуск приложения > вход). Если этого не сделать, по окончании срока «подвешенный» аккаунт удалится.

Простота этой процедуры и смутила Джейка Мура (Jake Moore), эксперта-криминалиста и консультанта ESET по вопросам кибербезопасности. Недоброжелатель, которому известен твой номер телефона, сможет с легкостью вместо тебя запросить деактивацию аккаунта, используя произвольный адрес отправителя. А если написать скрипт для автоматизации запросов, можно провести DoS-атаку длительностью в 30 дней.

О своем открытии эксперт рассказал в Twitter, предупредив пользователей популярного мессенджера об угрозе. Похоже, что его инициатива возымела свое действие: опцию деактивации через техподдержку вначале отключили, затем такие запросы стали возвращать подтверждение получения, а теперь WhatsApp дополнительно просит представить документ в подтверждение права на указанный номер телефона.

 

Тем не менее проблема осталась, и юзерам, потерявшим мобильный телефон, придется блокировать симку или само устройство с помощью соответствующей опции. В качестве альтернативы Мур советует включить в WhatsApp двухфакторную аутентификацию (2FA, по умолчанию неактивна): в этом случае деактивация аккаунта через техподдержку возможна только с привязанного имейл-адреса.

Геолокацию россиян предложили передавать полиции в случае опасности

Депутаты фракции «Новые люди» предложили МВД запустить сервис «Безопасный маршрут» — функцию для передачи геопозиции человека в полицию и экстренные службы, если ему угрожает опасность. Идея такая: человек сам включает временную передачу маршрута и геолокации, когда чувствует риск для жизни, здоровья или личной безопасности.

Об инициативе сообщает ТАСС. Функцию предлагают встроить в приложения «Госуслуги» и «МВД России», а также связать с цифровым контуром «Системы-112».

Письмо с предложением направили главе МВД Владимиру Колокольцеву. Работать это может как тревожный режим в смартфоне.

Пользователь заранее или прямо в опасной ситуации включает сервис, указывает конечную точку и примерное время прибытия. Либо выбирает готовый сценарий: «иду домой», «еду в такси», «нахожусь в опасной ситуации», «нужна помощь».

После активации система временно фиксирует маршрут и геолокацию. Если человек нажмёт тревожную кнопку, не подтвердит завершение маршрута или сработает другой заданный сценарий, данные передадут оператору «Системы-112» или в дежурную часть полиции.

Авторы инициативы считают, что сервис поможет быстрее определить местонахождение человека в экстренной ситуации и сократить время реакции полиции. А заодно использовать уже существующую цифровую инфраструктуру госприложений не только для справок и заявлений, но и для реальной помощи в момент, когда пользователю уже не до бюрократии.

По сути, депутаты предлагают превратить смартфон в тревожный маячок: включил маршрут, и в случае ЧП экстренные службы не начинают гадать, где тебя искать, а получают координаты.

RSS: Новости на портале Anti-Malware.ru