In caso di furto o smarrimento dello smartphone, WhatsApp mette a disposizione una procedura utile a evitare che soggetti terzi, non autorizzati, possano mettere in atto furti d’identità impossessandosi degli account altrui. Per disattivare un account WhatsApp ed impedire qualunque utilizzo dell’applicazione dal telefono perso o rubato, è sufficiente inviare un’email ai tecnici dell’app di messaggistica quindi inserire, nel corpo del messaggio, il numero dell’utenza mobile nel formato internazionale. Il numero di telefono indicato deve risultare associato all’account WhatsApp da disabilitare temporaneamente.
Come disattivare un account WhatsApp con una semplice email
La procedura per richiedere la disattivazione di WhatsApp con l’invio di una semplice email, è descritta nel documento di supporto dal titolo Telefono rubato o smarrito. Per fruirne, è sufficiente indicare Perso/rubato: Disattivazione del mio account sia come oggetto che come contenuto del messaggio. La richiesta, come evidenziato in precedenza, deve essere completata con il numero telefonico associato all’utenza WhatsApp da disabilitare.
Non importa se l’utente avesse già bloccato la SIM impedendo, ad esempio, chiamate e connessioni di rete. Il numero di telefono nel formato internazionale, infatti, è al momento utilizzato come unico strumento per il login su WhatsApp. Così, se lo smartphone fosse collegato alla rete Internet tramite WiFi, la richiesta di disattivazione dell’account avanzata via email andrà comunque a buon fine.
Una scoperta poco felice: è possibile bloccare l’account WhatsApp di qualunque utente
Jake Moore, Global Cybersecurity Advisor presso ESET, ha fatto una scoperta davvero agghiacciante. La procedura offerta da WhatsApp per il blocco temporaneo dell’account consente a chiunque di disattivare gli account di altri utenti.
Inviando un’email all’indirizzo indicato da WhatsApp unitamente con il numero telefonico dell’utente da bloccare, il suo account WhatsApp sarà automaticamente disattivato nel giro di breve tempo. Non è necessario che l’indirizzo email del mittente sia in qualche modo conosciuto a WhatsApp: la richiesta è in ogni caso gestita, apparentemente senza alcuna verifica da parte di un tecnico “in carne ed ossa”.
Come accennato in precedenza, WhatsApp non raccoglie alcun indirizzo email perché ad oggi il numero telefonico è l’unico parametro a essere utilizzato ai fini dell’autenticazione di ogni utente. Inoltre, l’indirizzo di posta elettronica del mittente potrebbe comunque essere falsificato (email spoofing). Senza effettuare alcun controllo aggiuntivo, la procedura per la disattivazione dell’account WhatsApp – così come risulta implementata – appare fragile e potenzialmente causa di problemi.
Account WhatsApp diventa inutilizzabile, all’insaputa della vittima
Come documenta anche Moore, a breve distanza dall’invio della richiesta di disattivazione dell’account WhatsApp, il supporto tecnico invia un’email di conferma all’indirizzo di posta del mittente. L’esperto di ESET racconta di aver utilizzato un indirizzo ProtonMail per recapitare la richiesta di blocco, a conferma che viene accettato qualunque indirizzo email, sottolineando anche come la procedura risulti del tutto automatica.
Gli account WhatsApp delle vittime diventano inutilizzabili per un periodo di tempo pari a 30 giorni. Durante questa finestra temporale, l’utente può ovviamente riattivare il suo account effettuando una nuova procedura di registrazione (basta inserire il codice numerico composto da 6 cifre ottenuto via SMS o tramite chiamata telefonica).
Il fatto, però, è che la vittima potrebbe non realizzare subito che il suo account WhatsApp risulta disattivato. L’applicazione, infatti, non mostra alcuna notifica e non espone alcun messaggio di allerta per informare l’utente circa l’accaduto. Durante i 30 giorni, i messaggi ricevuti dai contatti non vengono recapitati e restano “appesi”, non arrivando mai a destinazione.
La situazione peggiore si verifica nel momento in cui l’utente lasciasse passare 30 giorni senza registrare nuovamente il suo account: in questo caso l’account WhatsApp è automaticamente eliminato, con la conseguente perdita di tutte le informazioni ad esso collegate.