WhatsApp навечно блокирует пользователей групповых чатов из-за названий

[bugdesigner]

Ну вот и появился способ подгадить товарищам (правда и себе тоже). Создаем чатик, зазываем жертв, переименовываем — "профит".

[algotrader2013]

В этом же и суть статьи. Вот только, атакующий тратит 100 рублей на сим карту (которую вообще может взять в аренду под регу в специальных спамерских сервисах), а жертва теряет номер, который могут тысячи людей знать. Уверен, так хорошо мочить всяких адвокатов, дизайнеров, врачей, и всех тех, у кого ценна база клиентов, знающих человека лично.

PS: а вообще, очень надеюсь, что что-то вроде GDPR, но относительно банов, рано или поздно придумают, и Цук с мелкомягкими еще пару миллиардов заплатят за скотство и готовность банить кого-попало без разбора для уберегания своей жопы от эфемерной угрозы

[VDG]

Мессенджер тут же отреагировал на смену названия группы, заблокировав ее и отправив участников в перманентный бан.

Думаю, что «тут же» происходит не в том же процессе обработки запроса на переименование, а в другом асинхронно. Значит «тут же» вполне может быть такое, чтобы успеть выйти из группы после переименования, и блок атакующего не настигнет. Можно вступать в группы и блокировать с одной симки.

[algotrader2013]

Можно экспериментировать, конечно. Но надо понимать, что
1) Платформы вроде вацапа хранят всю историю состояний, и запрос может касаться всех «запачкавшихся» об чат за все время, или определенный промежуток.
2) Скорее всего, что, как раз, переименовавший банится первым (ведь действие, содержащее строку «детское порно», привязано к нему), а уже потом идет раскрутка графа далее.

[servermen]

У меня сейчас появилась ещё более интересная идея правда поскольку в одном чате может быть не более чем 256 участников, а общее количество пользователей WhatsApp составляет более 1,5 миллиардов, то для того, чтобы мессенджер собственноручно автоматически забанил всех своих пользователей, понадобится порядка 6 миллионов сим карт… Я думаю, что их конкуренты об этом сообразили гораздо раньше меня.

[algotrader2013]

К сожалению так оно не работает. Где-то на десятимиллионном забаненном у мразей сработает алерт на падение пользовательской базы, и вопрос банов сразу перейдёт из категории несущественных для доходов бизнеса в категорию стоящих десяти часов дева уровня международных олимпиад. И дыра закроется очень быстро.

Точно также, уверен, если забанить кого-то из политиков, то тоже сразу сработает алерт у безымянного индуса, и ручной разбан с постановкой флага "godmode" подоспеет за 10 минут. К сожалению, мрази жадные и циничные к простым юзерам, но не настолько тупые, чтобы просрать свой бизнес(

[nevzorofff]

Ага, убить всех человекав в чатике сада/школы самое то.

[servermen]

Вот интересно, а когда эту методику, в рамках конкурентной борьбы, начнут использовать для блокировки WhatsApp-аккаунтов крупных коммерческих компаний и политиков?

[GeBoN]

У нас «телеграм», нам пофиг ))

[rt3879439]

Это пока пользователей телеграма не начнут банить irl.

[ne_kotin]

И как вы себе это представляете?

[S-trace]

В каком-то из аниме (не помню точно, но кажется или в Higashi no Eden, или в .hack//*) была такая концовка, когда неугодных компьютерной системе пользователей "банили" беспилотными автомобилями прямо на улицах.

[rt3879439]

Вход в интернет по паспорту, например.

[DrunkBear]

Странно, но эту идею отвергли

[rt3879439]

Зато эту не отвергли:

Заголовок спойлера

[tundrawolf_kiba]

Странно, но эту идею отвергли

Чтобы получить сим — по закону нужен паспорт, все популярные мессенджеры и соцсети хотят знать наш телефон. Вот и получается что большинство и так ходит в интернет с паспортом. Наверное решили, что текущего объема идентификации на данный момент достаточно.

[DrunkBear]

У меня в сумке до сих пор валяется штук 5 симок, выданных у метро.
И недавно видел, у Савёловского раздавали.
Хотя, с текущим охватом людей большими данными и трендом на обмен ими, можно даже паспорт не требовать — побочных треков хватит для идентификации.
PS несколько лет назад домой приходили ребята в форме, с вопросом «тут на вас оформлена симка, а с неё некая дама звонила Очень Важному Лицу» — честно ответил, что на меня десятка два симок оформлено и понятия не имею где они, показал список вызовов и пожелал удачи в поисках.

[tundrawolf_kiba]

У меня в сумке до сих пор валяется штук 5 симок, выданных у метро.
И недавно видел, у Савёловского раздавали.

Ну у меня речь все же про большинство людей, не про тот процент у которых левые симки. Большинство же оформляет вполне легально.

[semmaxim]

А Вы отчаянный человек…
Во-первых, все симки на кого-то оформлены. И те, которые раздают без паспортов — тоже. И с них может кто-то в любой момент снять всё с баланса и заблокировать.
Во-вторых, Вас не напрягает, что с симок от Вашего имени может вестись противозаконная деятельность? И ладно, звонок куда не следует. А если с неё поступит угроза террористического акта? Или вообще с неё будет отправлена SMS, активирующая таймер бомбы? Сначала закроют, а потом будут полгода разбираться.

[DrunkBear]

IMEI не мой, геопозиция не моя, даже город не мой — понятия не имею, откуда эти люди взяли мои данные.
А розданные оптом так и валяются неактивированные, у них, кстати, приписано в EULA что-то типа «начав использовать эту симку вы обязаны в течении… дней зайти в наш офис и предоставить свои данные, без этого вы не сможете менять тарифные опции»

[semmaxim]

А следователь будет разбираться в том, что такое IMEI и запрашивать геопозицию у сотового оператора? У него уже есть железное доказательство — симка, с которой пришла SMS, принадлежит Вам. А уже выяснять про IMEI и геопозицию будет Ваш адвокат (в течении года, пока идёт следствие, а Вы сидите в СИЗО). И потом ему надо будет объяснить судье, что вот эти непонятные слова гораздо важнее, чем официальный документ о владении номером.

[DrunkBear]

Если я особо не нужен — адвокат быстро отбоярится, а то и объяснения хватит «звонок там, а я тут».
Если я нужен особо — адвокат не спасёт.

[ne_kotin]

Так уже. Вы не можете пользоваться услугами связи в РФ мимо заключенного договора, или без идентификации в публичных сетях.

[A1054]

Маразм крепчал

[mig126]

Фейсбук не первый раз творит херню. К примеру купив ту же Окулус(родитель современного VR), они планомерно выпилили всех её основателей.

[algotrader2013]

В Tox или Jami это немыслимо. Или в Jabber со своим сервером. Или в других децентрализированных IM, в т.ч. федерализированных.

К сожалению, в современном мире не все так просто… Точка невозврата уже пройдена: хомяки выменяли свободу на удобство, и проголосовали своим кошельком за девайсы с проприетарными аппсторами и DRM.
Давайте промоделируем ситуацию.
День 0. Каким-то образом удалось раскрутить децентралтзованный защищенный мессенджер. Через флешмоб/опозиционную молодёжь/etc.
День 1. Он начинает мешать спецслужбам и хозяевам проприетарных мессенджеров одновременно.
День 2. Кто-то из них вбрасывает детское порно и призывы игил в него, и раздувает шум.
День 3. Эппл блокирует приложение в аппстор до полной зачистки контента.
День 4. Разрабы физически не могут выполнить зачистку, и приложение идёт в вечный бан. Между всякими непонятными джейлбрейками и возвратом на вацап хомяки выбирают второе. Без пользователей айфонов мессенджер сдувается.

[Gamliel_Fishkin]

А я не использую WhatsApp, а также Skype и Viber. Раньше не использовал и Telegram; зарегистрировался, когда его стали пытаться блокировать, но не доверяю ему свои SMS-ки и вообще не делаю его важным способом связи.

[TimsTims]

Вообще чтобы такие беды вас обходили стороной, вам нужно выбросить телефон, не пользоваться компьютером, не попадаться на камеры, жить в лесу и конечно же носить шапочку из фольги, а то у вас полумеры какие-то!)
П.с. то есть у вас все важное хранится в смсках, но не доверяете телеграму?

[Gamliel_Fishkin]

Такие — это какие? WhatsApp, Skype и Viber не смогут отказать мне в своих услугах, потому что я ими не пользуюсь. Да, я использую Telegram, Facebook, Twitter, VK и Gmail, но не для важных коммуникаций. По SMS получаю в основном технические уведомления: от банков, от провайдера, от хостеров и т. д. Мой основной э-почтовый ящик физически находится в Исландии; его адрес я никому не сообщаю, а сообщаю перенаправляющие в него адреса на принадлежащих мне доменных именах. В ряде мест, включая профиль на Хабре, размещена ссылка на мой публичный GPG-ключ.

P. S.

[yakov73]

Очень интересно, но в чём смысл?
Пока вы одни из многих, и не представляете угрозы кому надо, вы никому не интересны.

Ваша почта станет интересна лишь тогда, когда вы сможете влиять на процессы более глобального масштаба, чем сейчас.

И если это произойдёт, защищенность почты будет не самой большой проблемой на мой взгляд;))

[TimsTims]

Исландия это хорошо, но никто не отменял фактор паяльника. От него вы что придумали? (На самом деле можете не отвечать, кажется я уже начал троллить).
А если серьезно — ну и зачем вам это все? Боитесь, что какой-то плохой хакер вас взломает? Или спец.службы нагрянут, и всё ваше имущество арестуют? Или что кто-то прочитает ваш почтовый ящик, по которому узнает что-то слишком пикантное о вас, что помешает стать президентом? Нет, я не утверждаю, что людям нечего скрывать, но каждая защита должна быть оправдана по неудобствам и затратам, которые несёте вы и злоумышленник, и награде, которую получаете вы или злоумышленник при взломе.

[Gamliel_Fishkin]

В этом году у двух активистов угнали Telegram. Если не ошибаюсь, для этого заинтересованные лица «попросили» мобильного оператора временно перестать доставлять SMS-ки на номера этих активистов, а вместо этого передавать SMS-ки заинтересованным лицам — и воспользовались восстановлением пароля через SMS. Заинтересованные лица могли временно отнять у активистов мобильные телефоны, однако воспользовались более сложным способом; активисты узнали о произошедшем лишь спустя некоторое время.

Я о том, что нередко взлом стараются делать так, чтобы жертва узнала о нём задним числом или не узнала вообще.

В остальном Вы правы, Вам от меня плюс в карму.

[maldalik]

Станет беда массовой народ тупо перейдет на другие мессенджеры делов то. И Воцап глядишь призадумается, хотя для него может оказаться поздно..

[bodqhrohro]

Современной гегемонии WhatsApp/Viber/WeChat/LINE и без этого наверняка скоро прийдёт конец, как пришёл конец гегемонии MSN/ICQ/Skype/Yahoo Messenger. Прийдёт новая эпоха в IT — VR, IoT или ещё чего — и они просто устареют, а взамен взлетит чего-нибудь другое. И ещё не факт, что это другое будет лучше. Вон у молодёжи популярны всякие Instagram, Snapchat и TikTok, там на фото/видео всё, а текстовая переписка уходит на второй план.

[censor2005]

Только что искал в настройках опцию запрета добавления в чаты. Есть только варианты «Все», «Мои контакты» и «Мои контакты, кроме...». Пункт «Никто» действительно убрали.
То есть, мне нужно все 1000 контактов добавить в исключения, чтобы никто не мог меня добавлять в группы. Мда, юзабилити…

[Andrusha]

Там в верхнем правом углу есть кнопка, которая выбирает сразу все контакты.

[Squoworode]

А при добавлении нового контакта — редактировать настройки всех чатов.

[DrunkBear]

Банхаммер прикрутили к боту или модераторы бдят?
Оба варианта минимально устраивают.
И да, помню, "Сквозное шифрование в WhatsApp гарантирует, что ваши сообщения доступны для чтения только вам и вашему собеседнику и больше никому, даже WhatsApp. " /sarcasm
Или сообщения шифруются, а темы — нет?
Короче, S — for security in Watsapp.

[bodqhrohro]

А они разве заявляли шифрование в групповых чатах?

[DrunkBear]

И действительно, прочитал «у нас шифрование, мы гарантируем» и повел себя как типичный глупый юзер: поверил на слово, что работает и додумал, что везде.

[alex6999]

Т.е. оформив новый номер, в дополнение к звонкам «Васю можно» можно наследовать бан Васи, прелестно, просто прелестно

[nillrinov]

Лиц нарушающих договор публичной оферты ими заключенный блокирует вторая сторона договора. Какая неожиданность! А договор оферту перед акцептом читать не пробовали? Акцепт публичной оферты равносилен подписанию бумажного договора, такое же юридически значимое действие. И, да, WhatsApp имеет полное право блокировать тех, кто нарушает договор на основании которого пользователь подключился к нему. Каждый в праве сам устанавливать правила поведения в своем доме. Не нравится? Используйте другой мессенджер или создайте свой.

[EuropeStar]

Если я не ошибаюсь, то номер телефона можно ведь «отключить», и тогда его продадут кому-нибудь другому) и получается, кто-то может купить симку с заблоченым аккаунтом?