Dünyanın en yaygın kullanılan mesajlaşma uygulamalarından WhatsApp'ta tespit edilen kritik bir güvenlik açığı, platformdaki yaklaşık 3,5 milyar kullanıcının telefon numarasının dış erişime açık hale gelmesine yol açtı. Bu açık, küresel ölçekte milyarlarca kişinin kişisel verilerini risk altında bırakan en büyük sızıntılardan biri olarak değerlendiriliyor.
Dünyanın en yaygın kullanılan mesajlaşma uygulamalarından WhatsApp'ta tespit edilen kritik bir güvenlik açığı, platformdaki yaklaşık 3,5 milyar kullanıcının telefon numarasının dış erişime açık hale gelmesine yol açtı.
Araştırmacılar, açığın yalnızca dakikalar içinde milyonlarca telefon numarasının toplanmasına imkân veren şaşırtıcı derecede basit bir yöntemle istismar edilebildiğini aktarıyor.
Güvenlik açığını ortaya çıkaran uzmanlar, aynı tekniğin kötü niyetli kişiler tarafından kullanılması halinde bunun "tarihin en büyük veri sızıntılarından biri" olarak kayıtlara geçebileceğini ifade ediyor.
En dikkat çekici nokta ise, bu zafiyetin Meta'ya ilk olarak 2017'de bildirilmiş olmasına rağmen şirketin aradan geçen 8 yıla karşın gerekli güvenlik adımlarını atmamış olması. Bu durum, Meta'nın kullanıcı güvenliğine yönelik yaklaşımına dair sert eleştirileri de beraberinde getiriyor.
AÇIK NASIL GERÇEKLEŞTİ?
WhatsApp'ın çalışma prensibi, bir telefon numarasını rehbere ekleyen kişinin, o numaranın platformda bulunup bulunmadığını anında görebilmesine dayanıyor. Bu kontrol sırasında profil fotoğrafı, isim gibi temel bilgiler de kullanıcıya gösterilebiliyor.
Araştırmacılar tam da bu mekanizmayı kullanarak, sorgulamanın sınırsız sayıda tekrarlanabildiğini fark etti. Ardından sistematik bir tarama yöntemiyle, küresel ölçekte neredeyse bütün WhatsApp kullanıcılarını kapsayabilecek büyüklükte bir numara listesini çekmeyi başardılar.
Viyana Üniversitesi'nden araştırmacıların açıklamasına göre, yalnızca yarım saat içinde ilk 30 milyon ABD telefon numarasına ulaşıldı. Çalışmayı yürüten ekipten Aljosha Judmayer, elde edilen bulguların "şimdiye kadarki en geniş çaplı telefon numarası ve ilişkili kullanıcı verisi ifşası" olabileceğini dile getirdi.
Araştırma tamamlandıktan sonra, elde edilen veritabanı Meta'ya iletilip güvenli bir biçimde silindi. Meta ise sistemlerinde bu yöntemle yapılmış kötü amaçlı bir istismar izi görmediklerini açıkladı.
HIZ SINIRLAMASI GETİRİLDİ
Meta, uzun süredir otomatik veri çekme girişimlerini engellemeye yönelik güvenlik önlemleri üzerinde çalıştıklarını belirtirken, bu araştırmanın yeni koruma mekanizmalarının test edilmesine katkı sağladığını savundu. Şirket, kullanıcı mesajlarının hâlâ uçtan uca şifreleme ile korunduğunu ve özel içeriklere erişilmediğini vurguladı.
Meta'nın açıklamasında şu ifadeler yer aldı:
"Bu çalışma, güvenlik sistemlerimizin test edilmesine önemli katkı sağladı. Araştırmacıların elde ettiği veriler güvenli şekilde silinmiştir ve bu yöntemle yapılmış kötü amaçlı bir saldırıya ilişkin herhangi bir bulgu yoktur."
Şirket, olayın ardından platform üzerinde işlem hız limitlerini sıkılaştırdığını, böylece kitlesel sorgularla yapılan taramaların önüne geçildiğini duyurdu.
Kaynak: BURSADA BUGÜN
Teknoloji, 2025.11.19 09:54