Viyana Üniversitesi ve SBA Araştırma’dan uzmanlar, WhatsApp’ın yerleşik kişi bulma mekanizmasında ciddi bir açık keşfetti. Uygulama, normalde kullanıcıların kişi listelerine erişerek telefon numaralarından diğer WhatsApp kullanıcılarını bulabiliyor. Ancak araştırmacılar, bu mekanizmanın arayabileceği kişi sayısı konusunda herhangi bir sınırlamanın bulunmadığını fark etti.

Bu zayıflık sayesinde araştırmacılar, saatte 100 milyon telefon numarasını tarayarak milyarlarca kullanıcı profiline ulaşabildi.

Viyana Üniversitesi’nde araştırmacı ve makalenin başyazarı Gabriel Gegenhuber, “Normalde bir sistemin bu kadar kısa sürede bu kadar çok sayıda isteğe yanıt vermesi beklenmez; özellikle de tek bir kaynaktan geliyorsa. Bu davranış, sunucuya sınırsız sayıda istek göndermemize ve dünya çapında kullanıcı verilerini haritalamamıza olanak tanıyan temeldeki kusuru ortaya çıkardı” dedi.

Araştırmanın sonuçları, 245 ülkedeki WhatsApp kullanıcılarının telefon numaraları, konumları, cihaz türleri, hesap yaşları ve bağlı cihaz sayıları gibi detaylı meta verilerini ortaya çıkardı. Araştırmacılar, bu verilerle kullanıcıların dolandırıcılık ve siber saldırılara karşı risk altında olabileceğini belirtti.

“Sorun çözüldü” 

Araştırmayı gerçekleştiren uzmanlarla birlikte çalışan Meta, açığın giderildiğini ve kullanıcıların güvenliğinin sağlandığını duyurdu.

WhatsApp Mühendislik Başkan Yardımcısı Nitin Gupta, “Zaten sektörde lider anti-kazıma sistemleri üzerinde çalışıyorduk ve bu çalışma, stres testinde ve bu yeni savunmaların anında etkililiğini doğrulamada etkili oldu. Araştırmacılar, topladıkları verileri güvenli bir şekilde sildi ve kötü niyetli aktörlerin bu vektörü kötüye kullandığına dair hiçbir kanıt bulamadık” ifadelerini kullandı.

Gupta ayrıca, WhatsApp’ın uçtan uca şifrelemesinin kullanıcı mesajlarını korumaya devam ettiğini vurguladı: “Mesajların içeriği her zaman gizli kaldı; açığın temel sorunu sadece meta verilerle ilgiliydi.”

Meta veriler ve gizlilik riskleri 

Araştırmacılar, çalışmalarının WhatsApp gibi merkezi mesajlaşma platformlarının risklerini de ortaya koyduğunu belirtiyor. Meta veriler, kullanıcının mesaj içeriğine ulaşmadan pek çok hassas bilgiyi açığa çıkarabiliyor.

Ortak yazar Dr. Aljosha Judmayer, “Uçtan uca şifreleme mesajların içeriğini korur, ancak ilişkili meta verileri korumaz. Çalışmamız, bu tür meta verilerin büyük ölçekte toplanıp analiz edilmesi durumunda ciddi gizlilik risklerinin ortaya çıkabileceğini gösteriyor” dedi.

Araştırmacılar, WhatsApp’ın resmî olarak yasaklandığı ülkelerde milyonlarca aktif hesabın bulunduğunu da ortaya çıkardı. Bu ülkeler arasında Çin, İran ve Myanmar gibi internet erişiminin sıkı kontrol edildiği bölgeler yer alıyor. Ayrıca, 2021’deki Facebook sızıntısında ortaya çıkan 500 milyon telefon numarasının yarısının hâlâ WhatsApp’ta aktif olduğu belirlendi.

2018-2019 yılları arasında gerçekleşen sızıntıda kullanıcıların adları, telefon numaraları, konumları ve doğum tarihleri bir bilgisayar korsanlığı forumunda paylaşılmıştı. İrlanda Veri Koruma Komisyonu, Meta’ya 265 milyon avro para cezası vermişti. Uzmanlar, bu tür verilerin hâlâ platformda aktif olması nedeniyle kullanıcıların artan siber risk altında olduğunu vurguluyor.

Nasıl kontrol edilir?

Kullanıcıların kendi güvenliklerini kontrol edebilmeleri için uzmanlar bazı önerilerde bulunuyor. Microsoft bölge direktörü ve siber güvenlik uzmanı Tory Hunt, “Have I Been Pwned?” isimli web sitesinin kullanıcıların e-posta adreslerinin veri ihlallerinde açığa çıkıp çıkmadığını kontrol etmelerine yardımcı olduğunu belirtiyor.

Siteye e-posta adresinizi girerek, geçmiş veri ihlallerinde bilgilerinizin tehlikeye girip girmediğini öğrenebilirsiniz. Eğer bilgileriniz açığa çıkmışsa şifrenizi derhal değiştirmek gerekiyor. Hunt, “Bu site, kullanıcıların şifrelerinin bilinen veri ihlallerinde yer alıp almadığını kontrol etmelerine ve gerekli önlemleri almalarına yardımcı oluyor. Hiçbir kişisel veri saklanmıyor ve şifreler şifreleniyor” dedi.

Tory Hunt, çevrimiçi güvenliği artırmak için üç temel adım öneriyor:

1- Benzersiz şifreler kullanın: Her hizmet için farklı şifreler oluşturun ve bir parola yöneticisi kullanarak kaydedin.

2- İki faktörlü kimlik doğrulama (2FA) etkinleştirin: Hesaplarınıza ek güvenlik katmanı ekleyin.

3- Olası ihlallerden haberdar olun: E-posta veya uygulama güvenliği konusunda düzenli bildirimler alın.

Sonuç olarak WhatsApp’ta ortaya çıkan güvenlik açığı, kullanıcıların mesaj içerikleri güvenli kalsa da meta verilerin ne kadar tehlikeli olabileceğini gösterdi. Telefon numaralarından cihaz türüne, konumdan hesap yaşına kadar pek çok bilgi, kötü niyetli kişiler tarafından kullanıldığında ciddi güvenlik riskleri oluşturabilir.