Os pesquisadores Luis Márquez Carpintero e Ernesto Canales Pereña encontraram algumas falhas no WhatsApp que, exploradas em conjunto, podem levar ao bloqueio permanente de uma conta no serviço, mesmo com a confirmação em duas etapas ativada.
Resumidamente, eles tentam ativar um número em outro celular repetidas vezes, errando de propósito o código de ativação, até bloquear a geração de novos códigos por 12 horas. Depois, enviam um e-mail para support@whatsapp.com pedindo para que a conta da vítima seja desativada (e, surpreendentemente, ela é; é um sistema automatizado que não verifica a titularidade da conta requisitada). Ao repetir o processo pela terceira vez, em vez de 12 horas, o bloqueio à ativação passa a ser de -1, ou seja, infinito.
O ataque não concede acesso à conta da vítima, mas pode inutilizar sua conta no WhatsApp. À Forbes, que relatou o esquema, o WhatsApp informou que, por precaução, recomenda aos usuários registrarem um e-mail junto à confirmação em duas etapas, porque isso “ajuda a nossa equipe de serviço ao usuário auxiliar pessoas que se depararem com esse problema improvável”. Via Forbes.