Dünyanın en büyük mesajlaşma platformlarından WhatsApp’ta ortaya çıkan kritik güvenlik açığı, küresel çapta yaklaşık 3,5 milyar kullanıcının telefon numarasının erişilebilir hâle geldiğini ortaya koydu. Güvenlik araştırmacıları, söz konusu zafiyetin yalnızca yarım saat içinde milyonlarca numarayı çekebilecek kadar basit bir yöntemle kullanılabildiğini aktardı.
Sorunu ortaya çıkaran güvenlik uzmanları, kötü niyetli kişilerin aynı yöntemi kullanmaları halinde bunun “tarihin en büyük veri sızıntısı” olabileceğini vurguladı.
NASIL ORTAYA ÇIKTI?
Araştırmacılara göre açık, WhatsApp’ın temel çalışma prensibinde yer alan bir mekanizmadan kaynaklandı. Bir kişinin numarasının rehbere eklenmesiyle WhatsApp’ın, numaranın platformda bulunup bulunmadığını anında göstermesi; buna ek olarak profil fotoğrafı, isim bilgisi gibi verilerin erişilebilir olması, sınırsız şekilde tekrarlanabilen bir tarama tekniğini mümkün kıldı.
Bu yöntemle sistematik sorgulama yapan araştırmacılar, sadece yarım saat içinde ilk 30 milyon ABD telefon numarasına ulaşmayı başardı. Viyana Üniversitesi’nden Aljosha Judmayer, elde edilen bulguların telefon numaraları ve ilişkili kullanıcı verileri açısından şimdiye kadarki en geniş ifşalardan biri olduğunu ifade etti.
2017 YILINDA BİLDİRİLMİŞ
En çarpıcı eleştiri ise, bu açığın Meta’ya ilk kez 2017 yılında bildirilmiş olmasına rağmen şirketin sekiz yıldır gerekli güvenlik önlemine başvurmamış olması.
AÇIKLAMA GELDİ
Meta, yaptığı açıklamada sistemde kötü niyetli bir kullanım izine rastlanmadığını bildirdi. Şirket, uzun süredir anti-scraping mekanizmaları üzerinde çalıştığını, bu çalışmanın yeni savunmaları test etmeye katkı sunduğunu belirtti.
Meta’nın açıklamasında şu ifadeler yer aldı:
“Bu çalışma, güvenlik sistemlerimizin test edilmesine önemli katkı sağladı. Araştırmacıların topladığı veriler güvenli biçimde silindi ve bu yöntemle kötü amaçlı bir saldırı yapıldığına dair herhangi bir kanıt bulunmuyor.”
