Söz konusu güvenlik açığını inceleyen araştırmacılar, yöntemin şaşırtıcı derecede “basit” olduğunu belirtti. Aynı yöntemle hareket eden kötü niyetli kişiler için bu durumun, “bugüne kadar gerçekleşmiş en büyük telefon numarası sızıntısı” olabileceği vurgulandı.
Ortaya çıkan zafiyet, dünya genelinde 3,5 milyar kullanıcının telefon numarasının kötü niyetli kişilerin erişimine açılmasına yol açabilecek düzeyde ciddi. Daha çarpıcı olan ise: Bu açık ilk kez 2017’de Meta’ya bildirilmiş olmasına rağmen, şirketin sekiz yıldır gerekli güvenlik önlemine başvurmamış olması.
Güvenlik Açığı Nasıl Ortaya Çıktı?
WhatsApp’ın temel altyapısı, bir numarayı rehbere ekleyen kullanıcıya o kişinin uygulamada bulunup bulunmadığını anında gösteriyor. Bu işlem sırasında:
-
Kullanıcı profili görüntülenebiliyor,
-
Profil fotoğrafı, isim bilgisi ve diğer meta veriler görünebiliyor.
Araştırmacılar, bu sorgunun limitsiz yapılabilmesini fırsata çevirerek otomatik sistemlerle ardışık numaraları taradı ve milyonlarca WhatsApp kullanıcısının telefon bilgilerini çekmeyi başardı.
30 Dakikada 30 Milyon Numara
Viyana Üniversitesi’nden uzmanlar, yalnızca yarım saat içinde 30 milyon ABD telefon numarasına eriştiklerini açıkladı.
Çalışmayı yürüten Aljosha Judmayer şöyle konuştu:
“Şu an bildiklerimiz ışığında, bu durum WhatsApp kullanıcılarına ait telefon numaralarının ve bağlantılı verilerin tarihteki en kapsamlı şekilde ifşa edilmesi anlamına geliyor.”
Araştırmacılar oluşturdukları veri tabanını Meta’ya ilettikten sonra tamamen sildiklerini bildirdi.
Meta ise sistemde bu yöntemle yapılmış kötü niyetli bir saldırı izine rastlanmadığını ileri sürdü.
Meta’dan Açıklama: ‘Hız Limiteri Devreye Alındı’
Meta, uzun zamandır anti-scraping yani toplu veri çekmeyi engelleyen sistemler üzerinde çalıştıklarını belirtti. Şirket, bu araştırmanın savunma mekanizmalarını test etme konusunda kritik geri bildirim sağladığını ifade etti.
Meta’nın resmi açıklamasında şu ifadelere yer verildi:
“Bu çalışma, güvenlik sistemlerimizin test edilmesine önemli katkı sağladı. Araştırmacılar tarafından elde edilen veriler güvenli biçimde silinmiştir ve bu açığın kötü amaçlı kişiler tarafından kullanıldığına dair hiçbir bulgu yoktur.”
Şirket, olay sonrası uygulamada işlem sınırlandırması ve hız kısıtlaması getirildiğini, böylece büyük çaplı taramaların engellendiğini duyurdu.
Kullanıcılar İçin Tehlike Sona Erdi mi?
Her ne kadar Meta, özel mesajların uçtan uca şifreleme altında olduğunun altını çizse de uzmanlar, telefon numaralarının tek başına bile:
-
Spam saldırıları
-
Dolandırıcılık girişimleri
-
Hesap ele geçirme denemeleri
-
Kimlik taklidi
-
Hedefli phishing operasyonları
gibi birçok riske kapı aralayabileceğini vurguluyor.
Bu nedenle sızıntı riskinin ciddiyeti hâlâ tartışılıyor.