Siber güvenlik dünyası, Viyana Üniversitesi ve SBA Araştırma Merkezi’nden gelen çarpıcı bir raporla sarsıldı. Uzmanlar, dünya genelinde 3,5 milyar kullanıcısı bulunan WhatsApp’ın altyapısında, kötü niyetli kişilerin kullanıcı profillerine erişmesine olanak tanıyan kritik bir zayıflık keşfetti.
Saatte 100 milyon numara tarandı
Araştırmacıların tespitine göre, güvenlik açığının kaynağı WhatsApp’ın “kişi bulma” (contact discovery) mekanizmasındaydı. Uygulama, normal şartlarda rehberinizdeki kişileri eşleştirmek için çalışırken, araştırmacılar bu sistemde bir “sorgu sınırlaması” olmadığını fark etti.
Bu zafiyet kullanılarak yapılan testlerde korkutucu sonuçlar elde edildi:
Tek bir kaynaktan saatte 100 milyon telefon numarası tarandı.
Milyarlarca kullanıcı profiline, herhangi bir engel olmadan erişim sağlandı.
Araştırmanın başyazarı Gabriel Gegenhuber, durumu şöyle özetledi: “Normalde bir sistemin bu kadar kısa sürede, tek kaynaktan gelen bu kadar yoğun isteğe yanıt vermemesi gerekir. Bu durum, sunucuya sınırsız istek göndererek küresel çapta bir kullanıcı haritası çıkarmamıza olanak tanıdı.”
Hangi veriler açığa çıktı? Mesajlar okundu mu?
Kullanıcıların en çok merak ettiği “Mesajlarım okundu mu?” sorusuna uzmanlar net bir yanıt veriyor: Hayır. WhatsApp’ın uçtan uca şifreleme teknolojisi sayesinde mesaj içerikleri gizli kaldı.
Ancak tehlike “Meta Veri” (Metadata) tarafında baş gösterdi. Açık sayesinde sızdırılabilecek bilgiler şunlar:
Telefon numaraları
Kullanıcıların anlık konum bilgileri
Kullanılan cihaz türleri
Hesapların oluşturulma tarihleri (Hesap yaşı)
Bağlı cihaz sayıları
Dr. Aljosha Judmayer, “Şifreleme mesajı korur ama meta veriyi korumaz. Bu verilerin büyük ölçekte toplanması, ciddi gizlilik ihlallerine ve hedefli dolandırıcılık saldırılarına kapı aralayabilir” uyarısında bulundu.
Meta’dan “Sorun Çözüldü” açıklaması
Raporun yayınlanması ve araştırmacıların Meta ile iletişime geçmesinin ardından şirket hızla harekete geçti. WhatsApp Mühendislik Başkan Yardımcısı Nitin Gupta, açığın kapatıldığını ve güvenlik önlemlerinin artırıldığını duyurdu.
Gupta, “Sektör lideri anti-kazıma (anti-scraping) sistemlerimizi test ettik. Araştırmacılar topladıkları verileri güvenli şekilde sildi. Ayrıca bu açığın kötü niyetli kişilerce kullanıldığına dair hiçbir kanıt bulunamadı” ifadelerini kullandı.
Yasaklı ülkelerde bile milyonlarca kullanıcı var
Araştırma, WhatsApp’ın resmi olarak yasaklı olduğu Çin, İran ve Myanmar gibi ülkelerde bile milyonlarca aktif numaranın bulunduğunu ortaya koydu. Ayrıca 2021’de yaşanan Facebook sızıntısındaki 500 milyon numaranın yarısının hala WhatsApp’ta aktif olduğu belirlendi. Bu durum, eski sızıntıların güncel riskler yaratmaya devam ettiğini gösteriyor.
Uzmanlardan 3 adımlı “Acil” güvenlik reçetesi
Microsoft Bölge Direktörü ve siber güvenlik uzmanı Troy Hunt, kullanıcıların kendi güvenliklerini sağlamaları için şu adımları öneriyor:
Sızıntı kontrolü yapın
Benzersiz şifreler
2FA’yı açın
