По материалам The Register
Чужой человек может читать ваши личные сообщения в WhatsApp и отправлять сообщения всем вашим контактам, если вы изменили свой номер телефона и не удалили учетную запись WhatsApp, связанную со старым.
Читатель The Register Эрик рассказал историю, которая произошла с его сыном Уго.
«Это серьезное нарушение конфиденциальности, — сказал Эрик. – У моего сына долгое время был доступ к личным сообщениям некоего человека, а также к групповым сообщениям, как личным, так и связанным с работой».
Немного подробнее о том, что же произошло.
Уго был давним пользователем WhatsApp в Швейцарии, и его учетная запись была привязана к его швейцарскому номеру телефона. В октябре он переехал в Париж по работе, получил новый французский номер телефона и новую сим-карту. Все это время он использовал WhatsApp, который продолжал отправлять и получать сообщения в обычном режиме, не зная о смене номера телефона.
В конце того же месяца он изменил свой номер телефона в WhatsApp, после чего все пошло не так. Рассказывает Эрик:
«Его телефон тут же заполонили группы незнакомца, и он начал получать все новые сообщения, предназначенные для этого человека, как личные, так и в группах. Фотография его профиля также поменялась на фото другого человека. Обратите внимание, похоже, этот человек был итальянцем, большинство/все сообщения были на итальянском… Он [Уго] пытался ответить этим людям и в группах, говоря, что он не тот человек, но это только сбивало всех с толку, потому что для других он продолжал выглядеть как человек, которым его считали».
Эрик сообщил о проблеме в WhatsApp и в материнскую компанию Meta*, и ему ответили, что это проблема с перепроданным номером телефона, а не ошибка, характерная для WhatsApp. «Например, если у номера появился новый владелец и он использует его для входа в Facebook*, это может привести к сбросу пароля Facebook*, — сказали ему сотрудники службы безопасности. — Если этот номер по-прежнему связан с учетной записью пользователя Facebook*, человек, который сейчас владеет этим номером, может получить доступ к учетной записи».
Мета* признала, что «это вызывает озабоченность», но Эрику сказали, что критериям программы вознаграждения за обнаружение ошибок такая уязвимость не соответствует. «У Facebook* нет контроля над операторами связи, которые перепродают телефонные номера, или над пользователями, чей номер телефона привязан к их учетной записи Facebook*, которая больше не зарегистрирована на них», — говорится в электронном письме.
Однако, по словам Эрика, WhatsApp может предпринять шаги для снижения серьезности проблемы, например, регулярно проверять правильность номера телефона пользователя.
«По крайней мере, когда они видят, что кто-то запрашивает изменение номера телефона (с A на B) и на телефонном номере B есть активная учетная запись, которая, по всей видимости, не имеет ничего общего с прикрепленной к номеру телефона А активной учетной записью, можно потребовать от владельца учетной записи на телефонном номере Б доказать, что он все еще является обладателем номер телефона Б, или обновить свой номер».
А вот как данная проблема описывается в официальной справке WhatsApp:
Все аккаунты WhatsApp привязаны к номерам телефона. Номера телефонов зачастую используются операторами мобильной связи повторно, а предыдущий владелец вашего нынешнего номера телефона мог использовать WhatsApp.
Если предыдущий владелец не удалил свой аккаунт WhatsApp, вы и ваши контакты могут видеть этот номер телефона в WhatsApp до того, как вы активируете новый аккаунт. К вашему номеру телефона может быть привязан профиль с чужой фотографией и Сведениями.
Причин для беспокойства нет. Это свидетельствует лишь о том, что предыдущий аккаунт не был удалён, и поэтому прежние сведения до сих пор хранятся в системе. Это не означает, что предыдущий владелец номера телефона имеет доступ к аккаунту WhatsApp, который вы активируете с помощью нового номера телефона. Ваше общение и прочие данные WhatsApp находятся под надёжной защитой.
Во избежание недоразумений с используемыми повторно телефонными номерами мы отслеживаем неактивные аккаунты. Если аккаунт не использовался в течение 45дней, а затем был вновь активирован на другом мобильном устройстве, мы расцениваем это как признак того, что этот номер отныне принадлежит другому пользователю. В таких случаях мы удаляем данные прежнего аккаунта, привязанные к номеру телефона, такие как фото профиля и раздел Сведения.
То есть мессенджер действительно построен таким образом, что любой, кто приобрел SIM-карту с номером, ранее зарегистрированным в системе WhatsApp, может получить доступ к переписке предыдущего владельца. Новый владелец номера защищен, но вот старый, если прошло менее 45 суток с момента последнего использования им приложения на каком-либо устройстве, не защищается вообще никак. Очевидно, что, работая над мессенджером, кто-то не очень хорошо продумал данный вопрос. И уж точно совсем не думал о том, как эта и без того весьма призрачная защита приватности будет работать после того, как жесткая привязка мессенджера к активной SIM-карте будет убрана в угоду конкуренции с Telegram. Причем, судя по тому, что ответил представитель WhatsApp журналистам The Register, о таком варианте в принципе не хотят думать:
«Мы предпринимаем множество мер, чтобы предотвратить получение людьми нежелательных сообщений, включая неактивные аккаунты после продолжительного периода бездействия, — ответил представитель WhatsApp на вопрос ресурса The Register. – Если по какой-то причине вы больше не хотите пользоваться WhatsApp, привязанным к конкретному номеру телефона, самое лучшее, что можно сделать, – это привязать его к другому номеру телефона или удалить аккаунт в приложении».
«Во всех случаях мы настоятельно рекомендуем людям использовать двухэтапную проверку для дополнительной безопасности, — продолжил представитель. — В крайне редких случаях, когда операторы мобильной связи перепродают номера быстрее, чем обычно, эти дополнительные уровни помогают обеспечить безопасность учетных записей».
Эта проблема не распространилась широко, по крайней мере, пока, но, тем не менее, это угроза конфиденциальности данных и предостерегающая история для пользователей любого сервиса по обмену сообщениями, который использует номера мобильных телефонов в качестве основной формы идентификации пользователя. И да, представитель WhatsApp прямо говорит о двухфакторной аутентификации, которую в любом случае должны использовать все.
В официальном FAQ мессенджера есть три раздела, где довольно кратко описывают момент, когда у вас меняется номер телефона, к которому вы привязали WhatsApp, а также то, что надо делать, чтобы ситуация Уго не повторилась у вас:
Обращает на себя внимание то, что изложенное находится в трех разных разделах, из которых лишь один хоть как-то позволяет догадаться, что вообще стоит сделать, а, собственно, информацию о проблеме чтения чужой переписки нужно искать в разделе «Если ваш номер телефона уже зарегистрирован в WhatsApp». Согласитесь, совсем не очевидно.
Если вы используете новый номер телефона
Скачайте WhatsApp на новый телефон и зарегистрируйте свой новый номер.
Удалите аккаунт WhatsApp, связанный с вашим прежним номером телефона.
Если вы забыли удалить свой аккаунт, связанный с прежним номером, и больше не имеете доступа к своему прежнему телефону, все данные аккаунта, связанные с этим номером, будут удалены, если новый владелец вашего прежнего номера активирует WhatsApp на новом телефоне спустя 45 дней бездействия.
Примечание. Если вы решили подарить свой старый телефон или вернуть его своему мобильному оператору, заранее удалите все данные и извлеките SD-карту, если она имеется. Это гарантирует, что ваши личные данные, например история чатов в WhatsApp, не попадут в чужие руки.
Тут отметим два момента. Во-первых, WhatsApp настоятельно рекомендует, чуть что, удалять аккаунт. Во-вторых, если вы по какой-то причине не удалили свой аккаунт, то из соображений безопасности это должно произойти автоматически, как только ваш бывший номер активирует кто-то другой. Или вы сами, но спустя 45 дней. Или если ожидание составило более 120 дней (но это не точно: «аккаунты WhatsApp обычно удаляются после 120 дней бездействия»). Как видим, на практике с автоматическим удалением не все так гладко. Но даже если предположить, что все сработало так, как задумывалось, вот что вы получаете.
- Удаление аккаунта повлечёт за собой следующее:
- удаление вашего аккаунта в WhatsApp;
- удаление истории ваших сообщений;
- удаление вас из всех ваших групп WhatsApp;
- удаление резервной копии с Google Диска.
- Если вы удалите свой аккаунт:
- Вы не сможете восстановить к нему доступ.
- Удаление ваших данных WhatsApp может занять до девяноста дней с момента начала процесса удаления.
В общем, единственный надежный способ защитить свои личные данные в WhatsApp — это не хранить свои личные данные в WhatsApp. После того, как вы перестали пользоваться WhatsApp, удалите свой аккаунт в WhatsApp. Если вам снова понадобится там кому-то написать — лучше зарегистрироваться заново. Если вы поменяли номер — позвоните его новому владельцу, пусть он тоже удалит аккаунт в WhatsApp и не вздумает привязывать его к этому номеру. Потому что Рафик совсем не виноватый, и ваши данные — это ваша проблема, храни их бог!
*Компания Meta Platforms, в которую входят социальные сети Facebook и Instagram, признана экстремистской организацией и запрещена в РФ.
Хотя, казалось бы, вацап с такой настойчивостью лезет в контакты, что, по их полному изменению, вполне мог бы детектировать смену пользователя.
Кстати, ведь в свободной и открытой системе Андроид должен же быть способ подсунуть вацапу пустой список контактов?
upd: кто-то в телеге читает МР, прямо только что пришла рекомендация установить облачный пароль в качестве доп. фактора.
Не понял проблему. Оператор передал кому-то номер и новый владелец получил доступ к ваззапу, привязанному к этому номеру? Ничего нового, в общем-то. Ко всем сервисам доступ получаешь, что к номеру привязаны были и не отвязаны. Не тольео к ваззапу. Сайты, банки…
вот к чему приводит привязка всего и вся к номеру телефона. Всегда забавно слышать про защищённость и анонимность, того же телеграмма например, когда все регистрируется на телефонный номер.
Lee, Альтернатива? Получать аккаунт в паспортном столе? В МФЦ? В районном психдиспансере? Где?
GrishaTav_SE, ещё каких-то 10 лет назад каждая эл.почта имела свой мессенджер (yahoo мессенджер как пример, и тд…) и все они работали без всяких номеров телефонов. А потом все они резко исчезли. к чему бы это, да?
Lee, Два варианта — мировой заговор рептилоидов или тупо надоели скандалы с протерявшими пароль пользователями. А так — взял и восстановил через СМСку.
полное доверие Вотцапе. А вот другим никак нет. Как то так товаристч капитан, не убедило.
>> можно потребовать от владельца учетной записи на телефонном номере Б доказать, что он все еще является обладателем номер телефона Б, или обновить свой номер
Я не понял. Зачем это требовать от Б? Этак любой может заявить смену номера и за DDoSить настоящего владельца. Нужно требовать от А, чтобы он подтвердил владение номером. И если удачно, сразу отвязывать от Б. Обеспечив ему альтернативный доступ к аккаунту, для восстановления данных. Что как понял из "жесткая привязка мессенджера к активной SIM-карте будет убрана в угоду конкуренции с Telegram", уже возможно.
Какая переписка??я когда захожу на др телефоне там никаких данных нет,чаты только с сервера гугл можно установить или с бекапа на телефоне,о чем речь?не путайте с телеграмм
ReadN, любовница/ик может нюдсы прислать позже
GrishaTav_SE, в госуслугах
Lee, Это всё работало на джаббере и вы и сейчас можете его использовать. Но народу там нет(
Lee, Привязка к номеру телефона решает два вопроса: восстановление пароля и обмен контактами. К сожалению, народ ногами проголосовал за WhatsApp.
Я так понял, в том же Вайбере этой проблемы нет.
Плюс иногда мне пишут, что у контакта такого то сменился номер.
Lee, Потому что тяжело помнить помимо номеров своих контактов ещё и их ники. А с номерами телефонов всё просто.
Lee, да просто номер телефона надо регистрировать на себя и не менять его, восстанавливать при потере телефона и т.п.
у меня номер с 2004 года и менять я его не собираюсь, есть дополнительные номера в планшетах, модемах, магнитолах, сигнализациях, но к ним абсолютно ничего не привязано
Я уж и забыл, что есть такой мессенджер.
Lee, Привязывать к своему логину или хотя бы к e-mail (e-mail обычно редко меняют). (смотрим Matrix — основной идентификатор — MatrixID, обычно (но это опционально) привязывается к e-mail, привязку к телефону сделать можно но текущие identity server'ы так не делают. ) Телефон, если уж он нужен для контактов — сделать дополнительным идентификатором.
GrishaTav_SE, Нет. Пару дней назад пришла родственнику. Мне пришлось объяснять что делать. Вчера, при переключении на запасной аккаунт — пришло и мне на этот запасной аккаунт (на основном уже давно). К чему бы это?
Вацапом не пользуюсь уже больше года, но, действительно, двухфакторная аутентификация и нет проблем. В телеге, кстати, тоже аккаунт могут стырить
Ded_DM, недавнее обновление телеги анонсировало двухфакторку
Это еще что. В России вообще код из смс законодательно является ПЭП (простая электронная подпись) я приравнен к собственноручной подписи. Так что, имея доступ к номеру чужого человека, можно и в ИБ банка к нему попасть, и кредитов на него пооформлять, и в ГосУслуги попасть, и много чего интересного сотворить.
Х х, Я уже сделал облачный пароль у них
Сам столкнулся с подобной ситуацией. Просто поменял свой второй номер с номером супруги. И контакты остались. И на оба номера иной раз пишут люди которые были в ватсап. Т е супруге пишет человек кто писал мне на мой второй. А мне на второй который был ее могут написать кто ее знает. Особо это не напрягает но только после прочтения статьи понял суть опасности). Телега рулит в любом случае))
😤