WhatsApp’ta dev açık: Tarihin en büyük veri ifşasının kıyısından nasıl dönüldü?

Hepimiz WhatsApp’ı telefon rehberimizdeki birini kolayca bulup mesaj atabildiğimiz için seviyoruz.

Yeni bir numara kaydettiğiniz an, o kişinin uygulamayı kullanıp kullanmadığını, hatta profil fotoğrafını ve adını saniyeler içinde görebiliyorsunuz.

Peki, bu müthiş kolaylığın aslında 3,5 milyar insanın verilerini tehlikeye atan devasa bir güvenlik açığına dönüştüğünü söylesek?

Viyana Üniversitesi'nden bir grup araştırmacı, tam da bu konuyu masaya yatıran çarpıcı bir çalışmaya imza attı.

Araştırmacılar, WhatsApp'ın kişi bulma sistemindeki bir zafiyetten yararlanarak, dünyadaki aktif kullanıcıların neredeyse tamamının telefon numaralarını, profil fotoğraflarını ve durum bilgilerini elde etmeyi başardı.Araştırma ekibi, basit bir "numara tarama" yöntemi kullanarak WhatsApp'ın veritabanını adeta didik didik etti.

Sonuçlar ise korkutucu: 3,5 milyar kullanıcının telefon numarası tespit edildi.

Bu kullanıcıların %57'sinin profil fotoğrafına, %29'unun ise "hakkında" kısmındaki metinlere erişim sağlandı.

Araştırmacılardan Aljosha Judmayer, durumu şöyle özetliyor: "Bildiğimiz kadarıyla bu, şimdiye kadar belgelenmiş en kapsamlı telefon numarası ve kullanıcı verisi ifşası.

Eğer bu veriler sorumlu bir araştırma kapsamında değil de kötü niyetli kişilerce toplansaydı, tarihin en büyük veri sızıntılarından biriyle karşı karşıya kalırdık." Ekibin belirttiğine göre, WhatsApp’ın tarayıcı tabanlı versiyonu üzerinden saatte yaklaşık 100 milyon numara sorgulaması yapılabiliyordu ve Meta, bu devasa sorgu trafiğini sınırlamakta yetersiz kaldı.Araştırmacılar, elde ettikleri bulguları Nisan ayında Meta ile paylaştı.

Şirket, Ekim ayına gelindiğinde bu tür toplu sorgulamaları engelleyen daha sıkı güvenlik önlemlerini devreye soktu.

Ancak araştırmacılar, bu açığın uzun süre savunmasız kaldığına ve başkaları tarafından istismar edilmiş olabileceğine dikkat çekiyor.

Meta ise yaptığı açıklamada, araştırmacılara teşekkür ederek bu çalışmanın sistemlerini güçlendirmelerine yardımcı olduğunu belirtti.

Şirket, sızdırılan verilerin "gizli" olmadığını, kullanıcıların zaten bu bilgileri herkese açık olarak paylaştığını savundu.

WhatsApp Mühendislik Başkan Yardımcısı Nitin Gupta, "Kullanıcı mesajları uçtan uca şifreleme sayesinde güvende kaldı.

Bu yöntemle herhangi bir özel mesaja erişilmesi mümkün değil," diyerek yüreklere su serpmeye çalıştı.Aslında bu tehlike çanları ilk kez çalmıyor. 2017 yılında Hollandalı araştırmacı Loran Kloeze, benzer bir yöntemle WhatsApp verilerinin toplanabileceğini kanıtlamış ve bunu bir blog yazısıyla duyurmuştu.

Kloeze, bu verilerin yüz tanıma teknolojileriyle birleştirilerek devasa fişleme listeleri oluşturulabileceği uyarısında bulunmuştu.

O dönemde Facebook (şimdiki adıyla Meta), Kloeze'nin uyarısını "sistem tasarlandığı gibi çalışıyor" diyerek geçiştirmişti.

Ancak Viyana Üniversitesi ekibi, Kloeze'nin çalışmasını bir adım öteye taşıyarak 3,5 milyar numara gibi inanılmaz bir ölçeğe ulaştı.

Bu durum, aradan geçen 8 yılda Meta'nın veri kazıma saldırılarına karşı aldığı önlemlerin yetersiz kaldığını gösteriyor.Araştırma, kullanıcıların gizlilik ayarlarına ne kadar dikkat ettiğini de ortaya koydu.

Örneğin, ABD'deki kullanıcıların %44'ü profil fotoğrafını herkese açık tutarken, WhatsApp'ın çok daha yoğun kullanıldığı Hindistan'da bu oran %62'ye, Brezilya'da ise %61'e çıkıyor.

Daha da endişe verici olan ise, WhatsApp'ın yasaklı olduğu Çin ve Myanmar gibi ülkelerde milyonlarca hesabın tespit edilmesi.

Araştırmacılar, bu ülkelerdeki hükümetlerin benzer yöntemlerle yasaklı uygulamayı kullanan vatandaşlarını tespit edip fişleyebileceği konusunda uyarıyor.Bu verilerin en büyük alıcısı kuşkusuz dolandırıcılar ve spam gönderenler.

Ancak araştırmada ilginç bir detay daha ortaya çıktı: Bazı hesapların şifreleme anahtarlarının birbirinin aynısı olduğu görüldü.

Normalde her kullanıcının benzersiz bir anahtarı olması gerekirken, bazı anahtarların yüzlerce kez tekrarlandığı tespit edildi.

Araştırmacılar, bunun WhatsApp'ın bir hatasından ziyade, dolandırıcıların kullandığı "sahte" veya modifiye edilmiş WhatsApp uygulamalarından kaynaklandığını düşünüyor.

Bu devasa araştırma, aslında çok temel bir soruna parmak basıyor: Telefon numaraları, milyarlarca kullanıcılı bir platformda "kimlik" olarak kullanılmak için yeterince güvenli değil.

Numara kombinasyonları tahmin edilebilir olduğu sürece, kötü niyetli kişiler bu numaraları tarayarak verilere ulaşmaya çalışacaktır.