A plataforma de comunicações instantâneas decidiu desativar temporariamente a função que permitia desativar uma conta de qualquer pessoa sabendo, para tal, o seu número de telefone. A falha explorava o sistema gestão do perfil e conta de utilizador deste serviço.
Com efeito, durante vários anos o processo de desativação da conta de qualquer utilizador do WhatsApp foi relativamente simples. Aliás, tanto assim foi que só quando a agência de segurança ESET alertou para a tamanha facilidade com que era possível desativar uma qualquer conta é que a empresa do grupo Meta decidiu agir.
WhatsApp suspendeu funcionalidade de desativação de conta
Foi através de uma série de publicações no Twitter, com vários tweets a demonstrar a simplicidade do processo que o engenheiro de segurança Jake Moore, instou a tecnológica norte-americana a agir. Algo que, felizmente, viria a acontecer no espaço de poucas horas após a publicação das suas conclusões.
Até ao momento, o WhatsApp permitia desativar uma conta de utilizador mediante o contacto do serviço de suporte da aplicação, enviando uma mensagem e alguns dados.
Bastaria, por exemplo, alegar que o smartphone havia sido roubado ou extraviado e indicar também o número de telemóvel associado à conta do WhatsApp.
Em seguida, sem mais verificações, o WhatsApp procedia à desativação da conta do utilizador. Ora, qualquer pessoa podia fazer chegar um pedido à linha / página de assistência da app com as informações de um qualquer outro utilizador.
Não precisava de ser o dono da conta para desativar a mesma.
Era muito fácil desativar uma qualquer conta no WhatsApp
O transtorno que daí podia advir é facilmente compreensível, podendo variar desde uma brincadeira de mau gosto, até à perseguição de uma outra pessoa. O pior de tudo? Esta funcionalidade parecia estar automatizada no seio da empresa de comunicações instantâneas para agilizar o seu funcionamento.
Por outras palavras, o WhatsApp havia colocado um bot, um sistema de automação que reconhecesse palavras como "roubo / extravia / perda", entre outras e o número de telefone. Em caso afirmativo, na presença de ambos os elementos, a conta seria desativada automaticamente, sem verificação humana.
Dito isto, apesar de agilizar bastante o processo, e em determinados casos tal ser bem-vindo, certo é que a falta de uma confirmação humana, ou de uma segunda camada de proteção, representa em si um risco. Existia aqui todo um potencial para uso indevido da automação para desativar contas alheias com relativa facilidade.
Medida de último recurso estava automatizada no WhatsApp
Importa frisar que este é um método de desativação de conta que só deve ser usado em último recurso. Isto é, quando o utilizador não consegue lançar mão de qualquer outro meio de recuperação de conta no WhatsApp.
Porém, continuava a ser possível usar esta via extrema para bloquear contas de outras pessoas.
Felizmente, após o engenheiro Jake Moore ter exposto a situação, o WhatsApp decidiu desativar temporariamente esta funcionalidade para evitar o seu uso indevido.
A empresa norte-americana estará a trabalhar agora num reforço da sua segurança, possivelmente lançando mão de um sistema de autenticação em dois fatores.
Em todo o caso, na eventualidade de uma conta de WhatsApp ser desativada num dispositivo, podemos sempre iniciar sessão noutro equipamento.
Sobretudo se tivermos uma cópia de segurança do histórico das conversas ativo, é relativamente fácil recuperar os nossos chats e demais ficheiros nesta plataforma.
Editores 4gnews recomendam:
