WhatsApp’ın devasa kullanıcı tabanına ulaşmasının en büyük nedenlerinden biri, bir kişiyi bulmak için sadece telefon numarasının yeterli olmasıydı. Ne yazık ki, bu basitlik aynı zamanda büyük bir güvenlik zafiyetini de beraberinde getirdi: Çok yakın bir zamana kadar, tüm WhatsApp kullanıcılarının telefon numaraları, kötü niyetli hacker grupları da dahil olmak üzere, herkes tarafından kolayca elde edilebilirdi.
Telefon Numarası Basit Bir Yöntemle Sızdırılabilirmiş!
Avusturyalı araştırmacılar tarafından ortaya çıkarılan bu şok edici durum, uygulamanın güvenlik açığını gözler önüne serdi. Araştırmacılar, 3.5 milyar WhatsApp kullanıcısının tamamının telefon numaralarını çekmeyi başardı. Bu kullanıcıların yaklaşık %57’sinin profil fotoğraflarına ve %29’unun profil metinlerine de erişilebildiği belirtildi.
Bu devasa veri sızıntısı için herhangi bir karmaşık “hack” yöntemine gerek duyulmaması ise durumun vahametini artırıyor. Araştırmacılar, bu verileri elde etmek için kullandıkları yöntemin aslında her kullanıcının yaptığı işlemden farksız olduğunu açıkladı.
Yöntem son derece basitti: Bir telefon numarasını rehberinize ekleyip WhatsApp’a kaydettiğinizde, uygulama o numarayı kullanan bir hesap olup olmadığını size gösteriyor ve eğer hesap herkese açıksa, profil fotoğrafını ve metnini de sunuyordu.
Araştırmacılar, bu işlemi sadece devasa ölçekte ve WhatsApp’ın tarayıcı tabanlı arayüzü olan WhatsApp Web üzerinden gerçekleştirdi. Yılın başlarında, bu yöntemle saatte yaklaşık 100 milyon telefon numarasını kontrol edebildikleri belirtildi.
WhatsApp’ın ana şirketi Meta’nın bu konuda daha önce 2017 yılında başka bir araştırmacı tarafından uyarıldığı, ancak bu uyarıya rağmen uzun yıllar boyunca hiçbir önlem almadığı ortaya çıktı. Neyse ki, Avusturyalı araştırmacılar sorunu Nisan ayında Meta’ya bildirdi ve şirket nihayet Ekim ayına gelindiğinde, toplu ölçekli kişi keşfini önlemek için oran sınırlaması uygulamasını devreye soktu. Ancak bu önlemin, kötü niyetli aktörlerin sistemi yıllarca sömürmesinden sonra gelmesi büyük bir endişe kaynağı oldu.
Meta ise bu ifşaata karşı kendini savundu. Şirket, sızan tüm verilerin “temel olarak herkese açık bilgiler” olduğunu ve profil fotoğraflarını ile metinlerini gizli tutmayı seçen kullanıcıların verilerinin açığa çıkmadığını vurguladı. Ayrıca Meta, bu vektörü kötü niyetli aktörlerin istismar ettiğine dair “hiçbir kanıt bulmadıklarını” ve araştırmacıların da “kamuya açık olmayan hiçbir veriye erişemediğini” belirtti.
