Basit Bir WhatsApp Güvenlik Açığı 3,5 Milyar Telefon Numarasını Açığa Çıkardı
Popüler mesajlaşma uygulaması WhatsApp milyarlarca telefon numarası ve profil bilgisinin ortaya çıkmasıyla gündem oldu.
WhatsApp çok büyük bir platform ve bu büyümenin en önemli nedenlerinden biri de hizmeti kullanan kişilere yalnızca telefon numaralarını ekleyerek uygulamaya erişim u kolaylığıdır. Ne yazık ki bu durum, her WhatsApp kullanıcısının telefon numarasının herkes tarafından, hatta kötü niyetli hacker grupları tarafından bile kolayca elde edilebildiği anlamına geliyordu.
Avusturyalı araştırmacılar, 3,5 milyar WhatsApp kullanıcısının telefon numaralarını çıkarmayı başardı. Bu kullanıcıların yaklaşık %57’sinin profil fotoğraflarına, %29’unun ise profil metinlerine erişebildiler. Hangi karmaşık hacker yöntemlerini kullandıklarını merak ediyorsanız, cevap aslında oldukça basit: Hiçbir özel yöntem kullanmadılar. Sadece tıpkı sıradan bir kullanıcı gibi milyarlarca numarayı eklemeyi denediler. Bir numara eklediğinizde WhatsApp, o numara ile bir hesap olup olmadığını bildiriyor ve varsa profil fotoğrafını ile hesap metnini gösteriyor.
Araştırmacılar da tam olarak bunu yaptı, hem de büyük bir ölçekte. WhatsApp Web’i, yani hizmetin tarayıcı tabanlı arayüzünü kullanarak bu işlemi gerçekleştirdiler. Bu yılın başlarında saatte yaklaşık 100 milyon telefon numarasını kontrol edebildiler. Bunun temel nedeni ise, WhatsApp’ın ana şirketi Meta’nın, 2017’de başka bir araştırmacı tarafından bu konuda uyarılmış olmasına rağmen gerekli önlemleri almamış olmasıydı.
Neyse ki Avusturyalı araştırmacılar bu sorunu Nisan ayında şirkete bildirdi ve Ekim ayına gelindiğinde Meta, bu tür büyük ölçekli taramaların tespit edilmesini önlemek amacıyla hız sınırlaması uygulamaya başladı. Ancak bu önlem yıllarca devrede değildi ve bu süre boyunca kötü niyetli kişilerin sistemi istismar etme ihtimali vardı.
Meta ise tüm bu verilerin “kamuya açık temel bilgiler” olduğunu, profil fotoğrafları ile metinlerinin yalnızca bunları gizli tutmayı tercih eden kullanıcılar için görüntülenmediğini vurguladı. Ayrıca şirket, “bu yöntemi kötüye kullanan kötü niyetli kişilere dair herhangi bir kanıt bulunmadığını” ve “araştırmacıların kamuya açık olmayan hiçbir veriye erişmediğini” de özellikle belirtti.