Ваш аккаунт WhatsApp захватил незнакомец? Это ваши проблемы

По материалам The Register

Чужой человек может читать ваши личные сообщения в WhatsApp и отправлять сообщения всем вашим контактам, если вы изменили свой номер телефона и не удалили учетную запись WhatsApp, связанную со старым.

Читатель The Register Эрик рассказал историю, которая произошла с его сыном Уго.

«Это серьезное нарушение конфиденциальности, — сказал Эрик. – У моего сына долгое время был доступ к личным сообщениям некоего человека, а также к групповым сообщениям, как личным, так и связанным с работой».

Немного подробнее о том, что же произошло.

Уго был давним пользователем WhatsApp в Швейцарии, и его учетная запись была привязана к его швейцарскому номеру телефона. В октябре он переехал в Париж по работе, получил новый французский номер телефона и новую сим-карту. Все это время он использовал WhatsApp, который продолжал отправлять и получать сообщения в обычном режиме, не зная о смене номера телефона.

В конце того же месяца он изменил свой номер телефона в WhatsApp, после чего все пошло не так. Рассказывает Эрик:

«Его телефон тут же заполонили группы незнакомца, и он начал получать все новые сообщения, предназначенные для этого человека, как личные, так и в группах. Фотография его профиля также поменялась на фото другого человека. Обратите внимание, похоже, этот человек был итальянцем, большинство/все сообщения были на итальянском… Он [Уго] пытался ответить этим людям и в группах, говоря, что он не тот человек, но это только сбивало всех с толку, потому что для других он продолжал выглядеть как человек, которым его считали».

Эрик сообщил о проблеме в WhatsApp и в материнскую компанию Meta*, и ему ответили, что это проблема с перепроданным номером телефона, а не ошибка, характерная для WhatsApp. «Например, если у номера появился новый владелец и он использует его для входа в Facebook*, это может привести к сбросу пароля Facebook*, — сказали ему сотрудники службы безопасности. — Если этот номер по-прежнему связан с учетной записью пользователя Facebook*, человек, который сейчас владеет этим номером, может получить доступ к учетной записи».

Мета* признала, что «это вызывает озабоченность», но Эрику сказали, что критериям программы вознаграждения за обнаружение ошибок такая уязвимость не соответствует. «У Facebook* нет контроля над операторами связи, которые перепродают телефонные номера, или над пользователями, чей номер телефона привязан к их учетной записи Facebook*, которая больше не зарегистрирована на них», — говорится в электронном письме.

Однако, по словам Эрика, WhatsApp может предпринять шаги для снижения серьезности проблемы, например, регулярно проверять правильность номера телефона пользователя.

«По крайней мере, когда они видят, что кто-то запрашивает изменение номера телефона (с A на B) и на телефонном номере B есть активная учетная запись, которая, по всей видимости, не имеет ничего общего с прикрепленной к номеру телефона А активной учетной записью, можно потребовать от владельца учетной записи на телефонном номере Б доказать, что он все еще является обладателем номер телефона Б, или обновить свой номер».

А вот как данная проблема описывается в официальной справке WhatsApp:

Все аккаунты WhatsApp привязаны к номерам телефона. Номера телефонов зачастую используются операторами мобильной связи повторно, а предыдущий владелец вашего нынешнего номера телефона мог использовать WhatsApp.

Если предыдущий владелец не удалил свой аккаунт WhatsApp, вы и ваши контакты могут видеть этот номер телефона в WhatsApp до того, как вы активируете новый аккаунт. К вашему номеру телефона может быть привязан профиль с чужой фотографией и Сведениями.

Причин для беспокойства нет. Это свидетельствует лишь о том, что предыдущий аккаунт не был удалён, и поэтому прежние сведения до сих пор хранятся в системе. Это не означает, что предыдущий владелец номера телефона имеет доступ к аккаунту WhatsApp, который вы активируете с помощью нового номера телефона. Ваше общение и прочие данные WhatsApp находятся под надёжной защитой.

Во избежание недоразумений с используемыми повторно телефонными номерами мы отслеживаем неактивные аккаунты. Если аккаунт не использовался в течение 45дней, а затем был вновь активирован на другом мобильном устройстве, мы расцениваем это как признак того, что этот номер отныне принадлежит другому пользователю. В таких случаях мы удаляем данные прежнего аккаунта, привязанные к номеру телефона, такие как фото профиля и раздел Сведения.

То есть мессенджер действительно построен таким образом, что любой, кто приобрел SIM-карту с номером, ранее зарегистрированным в системе WhatsApp, может получить доступ к переписке предыдущего владельца. Новый владелец номера защищен, но вот старый, если прошло менее 45 суток с момента последнего использования им приложения на каком-либо устройстве, не защищается вообще никак. Очевидно, что, работая над мессенджером, кто-то не очень хорошо продумал данный вопрос. И уж точно совсем не думал о том, как эта и без того весьма призрачная защита приватности будет работать после того, как жесткая привязка мессенджера к активной SIM-карте будет убрана в угоду конкуренции с Telegram. Причем, судя по тому, что ответил представитель WhatsApp журналистам The Register, о таком варианте в принципе не хотят думать:

«Мы предпринимаем множество мер, чтобы предотвратить получение людьми нежелательных сообщений, включая неактивные аккаунты после продолжительного периода бездействия, — ответил представитель WhatsApp на вопрос ресурса The Register. – Если по какой-то причине вы больше не хотите пользоваться WhatsApp, привязанным к конкретному номеру телефона, самое лучшее, что можно сделать, – это привязать его к другому номеру телефона или удалить аккаунт в приложении».

«Во всех случаях мы настоятельно рекомендуем людям использовать двухэтапную проверку для дополнительной безопасности, — продолжил представитель. — В крайне редких случаях, когда операторы мобильной связи перепродают номера быстрее, чем обычно, эти дополнительные уровни помогают обеспечить безопасность учетных записей».

Эта проблема не распространилась широко, по крайней мере, пока, но, тем не менее, это угроза конфиденциальности данных и предостерегающая история для пользователей любого сервиса по обмену сообщениями, который использует номера мобильных телефонов в качестве основной формы идентификации пользователя. И да, представитель WhatsApp прямо говорит о двухфакторной аутентификации, которую в любом случае должны использовать все.

В официальном FAQ мессенджера есть три раздела, где довольно кратко описывают момент, когда у вас меняется номер телефона, к которому вы привязали WhatsApp, а также то, что надо делать, чтобы ситуация Уго не повторилась у вас:

Обращает на себя внимание то, что изложенное находится в трех разных разделах, из которых лишь один хоть как-то позволяет догадаться, что вообще стоит сделать, а, собственно, информацию о проблеме чтения чужой переписки нужно искать в разделе «Если ваш номер телефона уже зарегистрирован в WhatsApp». Согласитесь, совсем не очевидно.

Если вы используете новый номер телефона

Скачайте WhatsApp на новый телефон и зарегистрируйте свой новый номер.

Удалите аккаунт WhatsApp, связанный с вашим прежним номером телефона.

Если вы забыли удалить свой аккаунт, связанный с прежним номером, и больше не имеете доступа к своему прежнему телефону, все данные аккаунта, связанные с этим номером, будут удалены, если новый владелец вашего прежнего номера активирует WhatsApp на новом телефоне спустя 45 дней бездействия.

Примечание. Если вы решили подарить свой старый телефон или вернуть его своему мобильному оператору, заранее удалите все данные и извлеките SD-карту, если она имеется. Это гарантирует, что ваши личные данные, например история чатов в WhatsApp, не попадут в чужие руки.

Тут отметим два момента. Во-первых, WhatsApp настоятельно рекомендует, чуть что, удалять аккаунт. Во-вторых, если вы по какой-то причине не удалили свой аккаунт, то из соображений безопасности это должно произойти автоматически, как только ваш бывший номер активирует кто-то другой. Или вы сами, но спустя 45 дней. Или если ожидание составило более 120 дней (но это не точно: «аккаунты WhatsApp обычно удаляются после 120 дней бездействия»). Как видим, на практике с автоматическим удалением не все так гладко. Но даже если предположить, что все сработало так, как задумывалось, вот что вы получаете.

В общем, единственный надежный способ защитить свои личные данные в WhatsApp — это не хранить свои личные данные в WhatsApp. После того, как вы перестали пользоваться WhatsApp, удалите свой аккаунт в WhatsApp. Если вам снова понадобится там кому-то написать — лучше зарегистрироваться заново. Если вы поменяли номер — позвоните его новому владельцу, пусть он тоже удалит аккаунт в WhatsApp и не вздумает привязывать его к этому номеру. Потому что Рафик совсем не виноватый, и ваши данные — это ваша проблема, храни их бог!

*Компания Meta Platforms, в которую входят социальные сети Facebook и Instagram, признана экстремистской организацией и запрещена в РФ.

[email protected]
наверх