WhatsApp’ın 3.5 Milyar Kullanıcısını Tehdit Eden Tehlike Geldi!
WhatsApp’ın büyük kullanıcı kitlesine ulaşmasının en önemli sebeplerinden biri, bir kişiyi bulmak için sadece telefon numarasının yeterli olmasıydı. Ancak bu basitlik, aynı zamanda önemli bir güvenlik açığına da neden oldu: Çok yakın bir zamana kadar, tüm WhatsApp kullanıcılarının telefon numaraları, kötü niyetli hacker grupları da dahil olmak üzere herkes tarafından kolayca erişilebiliyordu.
Telefon Numarası Basit Bir Yöntemle Sızdırılabiliyormuş!
Avusturyalı araştırmacılar tarafından ortaya konan bu şok edici durum, uygulamanın güvenlik açığını gözler önüne serdi. Araştırmacılar, 3.5 milyar WhatsApp kullanıcısının telefon numaralarını toplamayı başardılar. Bu kullanıcıların yaklaşık %57’sinin profil fotoğraflarına ve %29’unun profil metinlerine de erişim sağlandığı belirtildi.
Bu büyük veri sızıntısı için karmaşık bir “hack” yöntemine ihtiyaç duyulmamış olması, durumun ciddiyetini artırıyor. Araştırmacılar, bu verileri elde etmek için kullandıkları yöntemin her kullanıcının gerçekleştirdiği işlemlerden farksız olduğunu açıkladı.
Yöntem son derece basit: Bir telefon numarasını rehberinize ekleyip WhatsApp’a kaydettiğinizde, uygulama o numarayı kullanan bir hesabın var olup olmadığını gösteriyor ve eğer hesap herkese açıksa, profil fotoğrafı ve metnini de sunuyordu.
Araştırmacılar, bu işlemi devasa ölçekle ve WhatsApp’ın tarayıcı tabanlı arayüzü olan WhatsApp Web üzerinden gerçekleştirdiler. Yılın başlarında, bu yöntemle saatte yaklaşık 100 milyon telefon numarasını kontrol edebildikleri belirtildi.
WhatsApp’ın ana şirketi Meta’nın bu konuda daha önce 2017 yılında başka bir araştırmacı tarafından uyarıldığı, ancak bu uyarıya rağmen uzun yıllar boyunca önlem almadığı ortaya çıktı. Neyse ki, Avusturyalı araştırmacılar sorunu Nisan ayında Meta’ya bildirdi ve şirket nihayet Ekim ayına gelindiğinde, toplu ölçekli kişi keşfini önlemek için oran sınırlaması uygulamasını devreye aldı. Ancak bu önlemin, kötü niyetli aktörlerin sistemi yıllarca sömürmesinin ardından gelmesi büyük bir endişe kaynağı oldu.
Meta, bu ifşaya karşı kendini savundu. Şirket, sızan tüm verilerin “temel olarak herkese açık bilgiler” olduğunu ve profil fotoğraflarını ile metinlerini gizli tutmayı seçen kullanıcıların verilerinin açığa çıkmadığını vurguladı. Ayrıca Meta, kötü niyetli aktörlerin bu durumu istismar ettiğine dair “hiçbir kanıt bulmadıklarını” ve araştırmacıların “kamuya açık olmayan hiçbir veriye erişemediğini” belirtti.
