Dünyanın en popüler mesajlaşma uygulaması WhatsApp’ta tespit edilen güvenlik açığı, yaklaşık 3,5 milyar kullanıcının telefon numarasının dış erişime açık olmasına neden oldu. Uzmanlar, açığın çok kolay bir yöntemle istismar edilebileceğini ve bunun tarihin en büyük veri sızıntılarından biri olabileceğini belirtiyor.
Dünyanın en yaygın kullanılan mesajlaşma uygulamalarından WhatsApp’ta, kullanıcıların telefon numaralarının dış erişime açık hale gelmesine neden olabilecek kritik bir güvenlik açığı tespit edildi. Araştırmacılar, bu açığın yalnızca dakikalar içinde milyonlarca numaranın toplanmasına imkan tanıyan basit bir yöntemle istismar edilebildiğini açıkladı.
Açığın en dikkat çekici yanı ise, Meta’ya ilk olarak 2017’de bildirilmiş olmasına rağmen şirketin aradan geçen 8 yıl boyunca gerekli güvenlik önlemlerini almamış olması. Bu durum, şirketin kullanıcı güvenliği konusundaki yaklaşımına yönelik sert eleştiriler doğurdu.
WhatsApp’ın çalışma mantığı, bir telefon numarasını rehbere ekleyen kişinin, o numaranın platformda bulunup bulunmadığını anında görebilmesine dayanıyor. Bu süreçte profil fotoğrafı, isim gibi temel bilgiler de görüntülenebiliyor.
Araştırmacılar, bu mekanizmayı kullanarak sınırsız sayıda sorgulama yapabildiklerini fark etti. Sistematik tarama yöntemi ile küresel ölçekte neredeyse tüm WhatsApp kullanıcılarının telefon numaralarını listeleyebilecek büyüklükte bir veri seti oluşturuldu.
Viyana Üniversitesi araştırmacıları, sadece yarım saat içinde ilk 30 milyon ABD telefon numarasına ulaşıldığını belirtti. Ekipten Aljosha Judmayer, elde edilen verilerin “şimdiye kadarki en geniş çaplı telefon numarası ve ilişkili kullanıcı verisi ifşası” olabileceğini ifade etti.
Araştırma tamamlandıktan sonra elde edilen veritabanı güvenli bir şekilde Meta’ya iletildi ve silindi. Meta, bu yöntemle yapılmış kötü niyetli bir istismar izine rastlamadığını açıkladı.
Şirket, kullanıcı mesajlarının hala uçtan uca şifreleme ile korunduğunu ve özel içeriklere erişilmediğini vurguladı. Meta ayrıca, işlem hız limitlerini sıkılaştırarak kitlesel sorgu yoluyla veri taramalarının önüne geçildiğini duyurdu.
Meta yetkilileri açıklamasında şu ifadeleri kullandı:
“Bu çalışma, güvenlik sistemlerimizin test edilmesine önemli katkı sağladı. Araştırmacıların elde ettiği veriler güvenli şekilde silinmiştir ve bu yöntemle yapılmış kötü amaçlı bir saldırıya ilişkin herhangi bir bulgu yoktur.”
WhatsApp’taki bu güvenlik açığı, yaklaşık 3,5 milyar kullanıcının telefon numarasını ve temel bilgilerini risk altına sokarak küresel veri güvenliği tartışmalarını yeniden gündeme getirdi. Uzmanlar, kullanıcıların kişisel verilerini korumak için uygulama ve platformların güvenlik önlemlerini güncel tutmasının kritik önem taşıdığını vurguluyor.