Một hành vi khai thác bảo mật lớn có thể được sử dụng để tạm ngưng tài khoản WhatsApp của bạn chỉ với thông tin duy nhất là số điện thoại.

Theo Forbes, bước đầu tiên của kẻ tấn công là cài đặt WhatsApp trên điện thoại mới bằng cách sử dụng số điện thoại của bạn để kích hoạt dịch vụ. Tiếp theo WhatsApp sử dụng xác minh hai yếu tố (2FA) để cố gắng xác minh rằng chính bạn là người vừa thiết lập dịch vụ WhatsApp mới trên điện thoại của mình. Vì đó không phải là bạn, quy trình này sẽ lặp đi lặp lại và nếu được thực hiện nhiều lần, việc đăng nhập tài khoản của bạn sẽ bị tạm ngưng trong 12 giờ. Lúc này, kẻ tấn công gửi email đến WhatsApp thông báo rằng điện thoại của anh ta (thực sự là điện thoại của bạn) đã bị đánh cắp hoặc bị mất và yêu cầu tắt tài khoản WhatsApp liên kết với số điện thoại đó.

Sau yêu cầu này, WhatsApp sẽ gửi email xác nhận rằng tài khoản đã bị tạm ngưng mà không yêu cầu kẻ tấn công cung cấp bất kỳ loại thông tin nào có thể chứng minh rằng yêu cầu tạm ngưng tài khoản đến từ chủ sở hữu hợp pháp của tài khoản nói trên. Quá trình này có thể được lặp đi lặp lại nhiều lần, về cơ bản sẽ khóa bạn khỏi tài khoản WhatsApp của mình.

Hai nhà nghiên cứu bảo mật Luis Márquez Carpintero và Ernesto Canales Pereña đã xác nhận phương thức tấn công này sẽ khiến tài khoản bị khóa. Tuy nhiên việc kẻ tấn công có thể xâm nhập vào bên trong tài khoản và đọc được các tin nhắn là điều không thể xảy ra. WhatsApp vẫn chưa nói gì về việc vá lỗ hổng bảo mật này.