Dev WhatsApp veri sızıntısı iddiası
Son günlerde gündeme gelen WhatsApp güvenlik açığı, dünya genelinde milyarlarca kullanıcının telefon numaralarının risk altında olduğunu ortaya koydu. Akademisyenler ve siber güvenlik uzmanları, uygulamanın “contact discovery” sistemi üzerinden kullanıcı verilerinin potansiyel olarak erişilebilir hâle geldiğini belirtti. Peki, WhatsApp gerçekten 3,5 milyar telefon numarasını sızdırdı mı? Kullanıcı verileri güvende mi?
Araştırmanın detayları
Viyana Üniversitesi ve SBA Research ekibi tarafından hazırlanan “Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy” başlıklı çalışma, WhatsApp’ın telefon numarası doğrulama sisteminde ciddi bir açığın bulunduğunu gösterdi. Araştırmacılar, saniyede milyonlarca numara sorgulaması yaparak küresel çapta kullanıcı verilerini haritalayabileceklerini tespit etti.
Meta’dan açıklama
Meta, araştırma ekibinin bulgularını bildirmesinin ardından önlemler aldığını duyurdu. Şirket, sorgu hızını sınırlandıran “rate limiting” sistemi ekledi ve mesaj içeriklerinin uçtan uca şifrelenmiş olduğu için iletişimlerin güvende olduğunu vurguladı. Şirket yetkilileri, bugüne kadar bu yöntemin kötü niyetli kullanıldığına dair somut bir kanıt olmadığını açıkladı.
WhatsApp güvenlik açığı nasıl çalışıyor?
WhatsApp, kullanıcıların rehberindeki numaraları senkronize ederek uygulama içi kullanıcıları tespit ediyor. Araştırmacılar, bu mekanizmayı otomatik ve agresif biçimde kullanarak dünya çapındaki numaraları taradı. Telefon numarası ile birlikte profil fotoğrafı ve “hakkında” bilgileri gibi veriler de açığa çıkabiliyor.
Geçmiş uyarılar ve riskler
Benzer bir güvenlik sorunu 2017 yılında Meta’ya iletilmiş, ancak kalıcı bir çözüm uygulanmamıştı. Açık, spam, kimlik avı ve sosyal mühendislik saldırıları için potansiyel risk oluşturuyor. Özellikle aktif kullanıcıların hassas bilgilerinin yer aldığı “hakkında” metinleri, profil çıkarımı açısından tehlike yaratabiliyor.
Kriptografik güvenlik endişeleri
Araştırmacılar, bazı şifreleme anahtarlarının yeniden kullanılmasının mesaj güvenliğini zayıflatabileceğini ifade etti. Kötü niyetli üçüncü taraf istemciler veya klon uygulamalar, bu açığı kullanarak kullanıcı gizliliğini tehdit edebilir.
Meta’nın güvenlik önlemleri
Meta, açığın çözümü için hız sınırlamaları ve bug bounty programı kapsamında değerlendirmeler yaptı. Şirket, uçtan uca şifreleme sayesinde mesaj içeriklerinin güvende olduğunu vurguladı. Ancak uzmanlar, telefon numarasının kullanıcı kimliğinde tek belirleyici olmasının risk yarattığını ve alternatif doğrulama sistemlerinin geliştirilmesi gerektiğini belirtiyor.
