Kullananların huzurunu kaçıracak: WhatsApp’ta güvenlik depremi!
Dünyanın en popüler anlık mesajlaşma uygulaması WhatsApp, yaklaşık 3,5 milyar kullanıcısını doğrudan etkileyen devasa bir güvenlik zafiyeti ile gündemde. Viyana Üniversitesi araştırmacılarının ortaya koyduğu rapor, Meta çatısı altındaki platformun, "tarihin en büyük veri ifşasına" kapı aralayabilecek bir açığı yıllardır bildiği halde kapatmadığını ortaya çıkardı
Dünyanın en popüler anlık mesajlaşma uygulaması WhatsApp, yaklaşık 3,5 milyar kullanıcısını doğrudan etkileyen devasa bir güvenlik zafiyeti ile gündemde. Viyana Üniversitesi araştırmacılarının ortaya koyduğu rapor, Meta çatısı altındaki platformun, "tarihin en büyük veri ifşasına" kapı aralayabilecek bir açığı yıllardır bildiği halde kapatmadığını ortaya çıkardı
"Basit" yöntemle milyarlarca veri çekildi
Siber güvenlik dünyasını sarsan açık, son derece karmaşık kodlara değil, uygulamanın temel bir fonksiyonuna dayanıyor: Rehber Senkronizasyonu.
WhatsApp, bir numaranın rehbere kaydedilmesiyle o kişinin platformda olup olmadığını, profil fotoğrafını ve kullanıcı ismini otomatik olarak gösteriyor. Araştırmacılar, bu "özelliği" limitsiz bir şekilde tekrarlayarak sistematik bir tarama (scraping) gerçekleştirdi. Sonuçlar şöyle:
Kötü niyetli yazılımlar, rastgele numara kombinasyonlarını tarayarak saniyeler içinde gerçek kullanıcıları tespit edebiliyor.
Viyana Üniversitesi ekibi, sadece yarım saat içinde 30 milyon ABD'li kullanıcının telefon numarasına erişmeyi başardı.
Meta'ya ağır suçlama: "2017'den beri biliyordunuz!"
Olayın en skandal boyutu ise açığın yeni olmaması. Güvenlik uzmanlarına göre, bu zafiyet Meta'ya (o dönemki adıyla Facebook) ilk kez 2017 yılında bildirildi. Ancak şirket, 8 yıl boyunca kullanıcı mahremiyetini riske atan bu açığa karşı "hız sınırlayıcı" gibi basit önlemleri almayı erteledi.
Araştırmayı yürüten ekipten Aljosha Judmayer, durumun ciddiyetini şu sözlerle vurguladı: "Bildiklerimiz ışığında bu, telefon numaralarının ve ilişkili kullanıcı verilerinin şimdiye kadarki en geniş çaplı ifşasıdır."
Meta'dan "hız limiti" savunması
Araştırmacıların elde ettikleri devasa veritabanını Meta'ya kanıt olarak sunup ardından güvenli bir şekilde imha etmesinin üzerine şirket sessizliğini bozdu. Meta, olayın ardından sisteme işlem sınırlaması (rate limiting) getirdiklerini duyurdu.
Şirket sözcüleri, mesajların uçtan uca şifreli olduğunu ve içeriklere erişilemediğini belirterek şu açıklamayı yaptı: "Bu çalışma, savunma sistemlerimizin test edilmesinde önemli bir rol oynadı. Veriler silindi ve bu yöntemin kötü amaçlı bir saldırıda kullanıldığına dair elimizde bir kanıt bulunmuyor."
Uzmanlar ise mesaj içerikleri koruma altında olsa da, milyarlarca aktif telefon numarasının ve profil bilgilerinin ifşa olmasının; dolandırıcılık, kimlik hırsızlığı ve hedefli siber saldırılar için "bulunmaz bir maden" olduğu konusunda uyarıyor.
