Dünyanın en yaygın mesajlaşma uygulamalarından WhatsApp’ta ortaya çıkarılan güvenlik açığı, yaklaşık 3,5 milyar kullanıcının telefon numarasının dışarıdan erişime açık hale geldiğini ortaya koydu. Güvenlik araştırmacıları, açığın yalnızca yarım saat içinde milyonlarca numarayı çekebilecek kadar basit bir yöntemle kullanılabildiğini bildirdi.
Araştırmayı yürüten uzmanlar, aynı tekniğin kötü niyetli kişilerce uygulanması halinde bunun “tarihin en büyük veri sızıntısı” olabileceğini vurguladı. Eleştirilerin odağında ise, bu açığın 2017’de Meta’ya bildirilmiş olmasına rağmen şirketin gerekli güvenlik önlemini sekiz yıldır devreye almamış olması yer aldı.
AÇIK NASIL TESPİT EDİLDİ?
WhatsApp’ın iletişim altyapısı, herhangi bir telefon numarasının rehbere kaydedilmesiyle o kişinin uygulamada bulunup bulunmadığını otomatik olarak gösteriyor. Bu yöntem, aynı zamanda profil fotoğrafı ve isim gibi bazı bilgilerin de görüntülenmesine imkân tanıyor.
Araştırmacılar, bu doğrulama sürecinin limitsiz şekilde tekrarlanabilmesini bir zafiyet olarak değerlendirerek sistem üzerinde geniş çaplı bir tarama yaptı. Böylece yüz milyonlarca numaraya hızlıca ulaşılabileceği ortaya çıktı.
Viyana Üniversitesi ekibi, sadece ABD’ye ait 30 milyon telefon numarasının yarım saat içinde sorgulanabildiğini belirtti. Çalışmayı yürüten araştırmacı Aljosha Judmayer,
“Bildiklerimiz ışığında bu, telefon numaralarının ve ilişkili kullanıcı verilerinin şimdiye kadarki en geniş çaplı ifşasıdır” değerlendirmesinde bulundu.
Araştırmacılar elde ettikleri veri tabanını Meta’ya ilettikten sonra güvenli şekilde sildiklerini açıkladı.
META: KÖTÜ AMAÇLI KULLANIM YOK, HIZ LİMİTİ GETİRİLDİ
Meta, olayın ardından yaptığı açıklamada uzun süredir anti-scraping sistemleri üzerinde çalıştıklarını ve bu araştırmanın savunma mekanizmalarının geliştirilmesine katkı sağladığını belirtti. Şirket, kullanıcı mesajlarının uçtan uca şifreleme ile korunduğunu, içerik erişiminde bir ihlal olmadığını vurguladı.
Meta açıklamasında şu ifadeler yer aldı:
“Bu çalışma, güvenlik sistemlerimizin test edilmesinde önemli rol oynadı. Araştırmacıların topladığı veriler güvenli biçimde silindi ve bu yöntemle kötü amaçlı bir saldırı yapıldığına dair herhangi bir kanıt bulunmuyor.”
Şirket ayrıca, açığın ortaya çıkmasının ardından sistemde işlem hızını sınırlayan bir koruma mekanizması devreye alındığını, böylece kitlesel taramaların engellendiğini duyurdu.
