Avusturyalı araştırmacılar, WhatsApp’ta yıllardır var olan bir kusuru kullanarak platformdaki 3,5 milyar kullanıcının telefon numarası, isim ve profil resmi gibi temel verilerini toplamayı başardıklarını açıkladı. Araştırmacılar, bu olayı “tarihin en büyük veri sızıntısı” olarak nitelendirirken, bulgular WhatsApp’ın güvenlik altyapısı ve kullanıcı gizliliği konusundaki endişeleri yeniden alevlendirdi.
Açık nasıl çalışıyor ve ne kadar veri toplandı?
WhatsApp, kullanıcıların telefon rehberlerindeki numaraları sisteme girerek o numaraların bir WhatsApp hesabına ait olup olmadığını ve eğer herkese açıksa profil resmi, isim ve durum metni gibi detayları görmesine olanak tanıyor. Araştırmacılar, tam da bu “sayım” (enumeration) özelliğini otomatikleştirerek devasa bir veri toplama operasyonu gerçekleştirdi.
Süreç şu şekilde işledi:
- Google’ın “libphonenumber” kütüphanesini kullanarak dünya genelinde geçerli olabilecek 63 milyar potansiyel telefon numarası ürettiler.
- Bu numaraları saniyede 7.000 adet gibi inanılmaz bir hızla WhatsApp sistemine sorgulattılar.
- Şaşırtıcı bir şekilde, WhatsApp’ın sistemleri bu ölçekteki bir sorgu bombardımanını engellemedi. Araştırmacılar, IP adreslerinin veya hesaplarının bloke edilmediğini, yani etkili bir hız sınırlamasının olmadığını belirtti.
Bu yöntemle, WhatsApp’ın resmi olarak açıkladığı “2 milyardan fazla kullanıcı” sayısını aşarak, platforma kayıtlı tam 3,5 milyar telefon numarasını doğruladılar. Toplanan verilerin analizi ise daha endişe verici sonuçlar ortaya koydu:
- Hesapların %57’sinin bir profil resmi vardı ve bunların üçte ikisinde insan yüzleri tespit edildi.
- Hesapların %29’unda ise bir profil metni (hakkında bölümü) bulunuyordu. Bu metinler, bazen kullanıcıların cinsel yönelimi, siyasi görüşleri, sosyal medya bağlantıları (LinkedIn, Tinder vb.) ve hatta profesyonel e-posta adresleri gibi hassas bilgileri ifşa ediyordu.
Sadece sıradan kullanıcılar değil: Hükümet ve askeriyeden de numaralar var
Araştırmacılar, topladıkları bazı telefon numaralarını çeşitli ülkelerdeki hükümet ve askeri yetkililere kadar takip edebildiklerini belirtti. Ayrıca, WhatsApp’ın yasaklı olduğu Çin, Myanmar ve Kuzey Kore gibi ülkelerden milyonlarca aktif hesap tespit ettiler. Bu durum, yasakları delen bu kullanıcıları, kendi ülkelerinde tutuklanma veya “yeniden eğitim kamplarına” gönderilme gibi ciddi yasal yaptırımlarla karşı karşıya bırakma riski taşıyor.
Meta’nın yanıtı ve alınan önlemler
Araştırmacılar, bulgularını sorumlu bir şekilde Meta’nın hata ödül (bug bounty) programına bildirdi. Ancak Meta’nın anlamlı bir yanıt vermesinin neredeyse bir yıl sürdüğü belirtiliyor. Araştırmacılar, makalelerinin bir ön baskısını yayınlama niyetlerini bildirdikten sonra şirketin harekete geçtiği ve sorunu ciddiyetle ele aldığı ifade edildi.
WhatsApp Mühendislik Başkan Yardımcısı Nitin Gupta, araştırmacılara teşekkür ederek bu işbirliğinin yeni bir sayım tekniğini ortaya çıkardığını ve şirketin “kazıma” (scraping) karşıtı savunma sistemlerini test etmelerine yardımcı olduğunu söyledi. Gupta, araştırmacıların topladığı verileri güvenli bir şekilde sildiğini ve kötü niyetli kişilerin bu yöntemi kullandığına dair bir kanıt olmadığını da ekledi. Ayrıca, kullanıcı mesajlarının uçtan uca şifreleme sayesinde her zaman özel kaldığını ve bu açıkla sadece herkese açık profil verilerine erişildiğini vurguladı.
Araştırmacılar, Meta’nın aldığı önlemlerin ardından aynı adımları tekrar denediklerinde hızla engellendiklerini doğruladı. Bu, açığın kapatıldığını gösteriyor.
Bu olay neden önemli?
Bu devasa veri toplama olayı, birkaç önemli gerçeği gözler önüne seriyor:
- “Herkese açık” verilerin riski: Profil resmi veya durum metni gibi bilgilerin herkese açık olması masum görünse de, milyarlarca kullanıcının verisiyle birleştirildiğinde, tersine bir telefon rehberi oluşturmak veya hassas kişisel bilgileri ifşa etmek için kullanılabilir.
- Eski sızıntılar hala tehlikeli: 2021’deki büyük Facebook sızıntısından elde edilen 533 milyon telefon numarasının yarısının, bu yeni veritabanında hala aktif WhatsApp kullanıcısı olduğu görüldü. Bu, eski veri sızıntılarının yıllar sonra bile güncel bir tehdit oluşturduğunu kanıtlıyor.
- Siber suç potansiyeli: Doğrulanmış milyarlarca telefon numarası, spam, kimlik avı (phishing) ve otomatik arama saldırıları için devasa bir hedef listesi oluşturuyor.
Sonuç olarak bu araştırma, en büyük teknoloji platformlarının bile temel güvenlik mekanizmalarında ne kadar büyük boşluklar olabileceğini ve kullanıcı gizliliğinin ne kadar kırılgan olduğunu bir kez daha gösterdi.
