3.5 milyar WhatsApp kullanıcısının verisi risk altında
WhatsApp'ın milyarlarca kullanıcısını ilgilendiren dev güvenlik açığı ortaya çıktı. Basit bir yöntemle telefon numaraları ve profil fotoğraflarının nasıl çekildiği ve Meta'nın konu hakkındaki savunması haberimizde.
Dünyanın en popüler anlık mesajlaşma uygulaması WhatsApp, sunduğu iletişim kolaylığının bedelini devasa bir güvenlik riskiyle ödemiş olabilir. 3.5 milyar aktif kullanıcısı bulunan platformda, yakın zamana kadar telefon numaralarının ve kişisel profil bilgilerinin herkes tarafından erişilebilir olduğu ortaya çıktı. Bu durum, siber güvenlik dünyasında deprem etkisi yarattı.
Avusturyalı güvenlik araştırmacılarının ortaya çıkardığı bu açık, karmaşık yazılımlara veya üst düzey "hack" yeteneklerine ihtiyaç duymuyordu. Sorunun kaynağı, WhatsApp'ın en temel özelliklerinden biri olan kişi senkronizasyonuydu.
Normal şartlarda bir numarayı rehberinize kaydettiğinizde, WhatsApp bu numaranın bir hesaba bağlı olup olmadığını kontrol eder. Araştırmacılar, bu işlemi WhatsApp Web üzerinden otomatikleştirerek devasa ölçeklere taşıdı. Yapılan testlerde, saatte yaklaşık 100 milyon telefon numarasının taranabildiği ve geçerli hesapların tespit edilebildiği belirlendi.
Sızıntı sadece telefon numaralarının doğrulanmasıyla sınırlı kalmadı. Araştırmacıların raporuna göre, taranan kullanıcıların yaklaşık %57’sinin profil fotoğraflarına ve %29’unun hakkında kısmındaki metinlere erişim sağlandı. Bu veriler, kötü niyetli kişiler tarafından sosyal mühendislik saldırılarında veya dolandırıcılık girişimlerinde kullanılmak üzere son derece değerli bir veri havuzu oluşturuyor.
Meta yıllardır biliyordu ama suskun kaldı
Skandalın en dikkat çekici boyutu ise Meta'nın (eski adıyla Facebook) tavrı oldu. Şirketin bu güvenlik zafiyeti konusunda ilk olarak 2017 yılında uyarıldığı, ancak o dönemde herhangi bir somut adım atmadığı iddia ediliyor. Avusturyalı ekip sorunu bu yılın Nisan ayında tekrar Meta’ya bildirdi. Şirket ise ancak Ekim ayında harekete geçerek, toplu numara sorgulamalarını engelleyen bir "hız sınırlaması" (rate limit) getirdi.
Siber güvenlik uzmanları, aradaki bu uzun sürede kötü niyetli hacker gruplarının bu açığı kullanarak milyarlarca kişilik veritabanları oluşturmuş olabileceğinden endişe ediyor.
Konunun gündeme gelmesinin ardından Meta cephesinden de bir açıklama geldi. Şirket, erişilen verilerin teknik olarak bir "sızıntı" olmadığını savundu. Meta sözcüleri, profil fotoğrafları ve durum metinlerinin kullanıcılar tarafından "herkese açık" olarak ayarlandığını, dolayısıyla araştırmacıların gizli bir veriye ulaşmadığını belirtti. Ayrıca şirket, bu yöntemin kötü niyetli aktörler tarafından kullanıldığına dair ellerinde bir kanıt bulunmadığını vurguladı.
WhatsApp güvenliği için ne yapmalısınız?
Bu tür veri tarama işlemlerinden korunmak için kullanıcıların alabileceği en etkili önlem, WhatsApp gizlilik ayarlarını sıkılaştırmaktır.
Ayarlar > Gizlilik menüsüne gidin.
Profil Fotoğrafı, Hakkında ve Son Görülme gibi seçenekleri "Sadece Kişilerim" veya "Hiç Kimse" olarak değiştirin.
Bu basit işlem, numaranız bir şekilde tespit edilse bile kişisel verilerinizin ve fotoğrafınızın tanımadığınız kişilerce görüntülenmesini engeller.