WhatsApp Güvenlik Açığı: Yarım Saatte Milyonlarca Numara ve Bilgiye Erişim

Bir güvenlik araştırması, WhatsApp’ın temel iletişim sistemi üzerinden, bir kişinin telefon numarasının rehbere eklenmesiyle kullanıcıların mevcut olup olmadığını anında görüntüleyebildiğini ortaya koydu. Bu mekanizma, profil fotoğrafı ve ad gibi ek verileri de zorlanmadan görünür kılarak tekrarlı ve kapsamlı taramaların yolunu açtı.

Araştırmacılar, sınırsız tekrar kullanım sayesinde sistematik tarama yaparak neredeyse tüm kullanıcıların numaralarını ele geçirebildi. Viyana Üniversitesi’nden ekip, ilk 30 milyon ABD telefon numarasına sadece yarım saat içinde ulaştıklarını açıkladı. Projeyi yürüten Aljosha Judmayer, elde edilen bulgunun telefon numaralarının ve ilişkili kullanıcı bilgilerinin şimdiye kadar gördüğümüz en geniş çaplı ifşası olduğuna dikkat çekti. Elde edilen veri, Meta’ya iletildikten sonra güvenli biçimde silindi.

Meta: Hız limiteri devreye alındı

Meta, uzun süredir anti-scraping önlemleri üzerinde çalıştığını ve bu çalışmanın yeni savunmaların test edilmesine yardımcı olduğunu savunuyor. Şirket, uçtan uca uç şifrelemesiyle mesajların korunmaya devam ettiğini ve özel içeriklere erişimin mümkün olmadığını belirtiyor. Şu ifadelerle açıklama yapıldı: Bu çalışma güvenlik sistemlerimizin test edilmesinde önemli rol oynadı. Araştırmacıların topladığı veriler güvenli biçimde silindi ve bu yöntemle kötü niyetli bir saldırı yapıldığına dair herhangi bir kanıt bulunmuyor. Ayrıca olayın ardından sisteme yönelik tarama sınırlamaları getirildi ve artık toplu taramaların önüne geçildiği kaydedildi.

Bu sonuçlar, güvenlik uzmanlarının uyarılarına rağmen, geçmişte bildirilen açığın sekiz yıl boyunca giderilmediğini gösterdi; güvenlik topluluğu, daha yeni savunma mekanizmalarının geliştirilmesi gerektiğini vurguluyor.