WhatsApp’ın temel doğrulama mekanizmasında ortaya çıkarılan bir zafiyet, uygulamayı kullanan yaklaşık 3,5 milyar kişinin telefon numarasının dışarıdan sorgulanabilir olduğunu açığa çıkardı. Güvenlik araştırmacıları, yöntemin son derece basit olması ve saniyeler içinde kitlesel tarama yapılabilmesi nedeniyle durumun ciddiyetine dikkat çekti.
Araştırmayı gerçekleştiren ekip, tekniğin kötü niyetli kişiler tarafından kullanılması hâlinde “benzeri görülmemiş bir veri ifşası” yaşanabileceğini vurguladı. Eleştirilerin odak noktası ise, bu açığın aslında 2017 yılında Meta’ya rapor edilmiş olmasına rağmen gerekli önleyici adımların yıllar boyunca atılmamış olması oldu.
Açığın Ortaya Çıkışı
WhatsApp’ın altyapısı, rehbere eklenen herhangi bir numaranın uygulamada kayıtlı olup olmadığını otomatik olarak gösterebiliyor. Bu doğrulamayla birlikte, kimi zaman profil fotoğrafı ve isim gibi ek bilgiler de görülebiliyor.
Araştırmacılar, bu doğrulama sürecinin limitsiz biçimde tekrarlanabilmesini kritik bir açık olarak değerlendirerek kapsamlı bir tarama gerçekleştirdi. Sonuç, milyonlarca numaranın çok kısa sürelerde çekilebildiğini ortaya koydu.
Viyana Üniversitesi’nden araştırma ekibi, yalnızca ABD’ye ait 30 milyon numaranın yarım saat içinde sorgulanabildiğini açıkladı. Çalışmanın başındaki isim Aljosha Judmayer şu değerlendirmeyi yaptı:
“Mevcut bilgilerimiz ışığında, telefon numaralarının ve ilişik kullanıcı detaylarının bugüne kadarki en geniş çaplı ifşasıyla karşı karşıyayız.”
Uzmanlar, elde ettikleri verileri Meta’ya ilettikten sonra güvenli şekilde sildiklerini de vurguladı.
Meta’nın Yanıtı: “Kötüye Kullanım Tespit Edilmedi”
Meta, inceleme sonrasında yayımladığı açıklamada, uzun süredir scraping karşıtı sistemler üzerinde çalıştıklarını ve bu araştırmanın güvenlik mekanizmalarını geliştirmeye katkı sunduğunu belirtti. Şirket, uçtan uca şifrelemenin içerik güvenliğini koruduğunu ve mesajlara erişim anlamında bir ihlal yaşanmadığını ifade etti.
Açıklamada şu ifadelere yer verildi:
“Bu çalışma, savunma sistemlerimizin test edilmesinde önemli bir rol üstlendi. Araştırmacıların topladığı verilerin güvenli şekilde silindiğini doğruladık ve bu teknikle yapılmış kötü amaçlı bir saldırıya ilişkin herhangi bir bulguya rastlanmadı.”
Meta ayrıca, açığın belirlenmesinin ardından sistemde sorgu hızını kısıtlayan yeni bir mekanizmayı devreye soktuklarını ve kitlesel taramaların bu sayede engellendiğini duyurdu.
