Anlık mesajlaşma devi WhatsApp, Viyana Üniversitesi'nden gelen ve teknoloji dünyasında geniş yankı uyandıran bir araştırma raporuyla sarsıldı. Söz konusu çalışmada, araştırmacıların WhatsApp'ta kayıtlı olduğu iddia edilen 3.5 milyar kullanıcının kişisel verilerini başarılı bir şekilde topladığı öne sürüldü. Bu rakam, Meta'nın (WhatsApp'ın ana şirketi) resmi olarak açıkladığı 2 milyar kullanıcı sayısını bile aşarak, çalışmayı 'tarihin en büyük veri sızıntısı' olarak adlandırılmasına neden oldu—ancak bu durumun detayları, olayın bir 'sızdırmadan' çok bir 'veri çekme' operasyonu olduğunu gösteriyor.
Sızıntı mı, Yoksa Uygulama Açığı mı?
Araştırmacılar, bu verileri kötü niyetli bir saldırıyla değil, uygulamanın normal işleyişini kullanarak topladıklarını belirtiyor. WhatsApp, kullanıcıların telefon numarası girerek bir hesabın varlığını ve o hesabın genel erişime açık profil bilgilerini (profil fotoğrafı, durum yazısı vb.) görmesine izin veriyor. Bu süreçte kritik nokta, platformun telefon numarası sorgulamaları için herhangi bir belirgin hız sınırlaması (rate limit) uygulamamasıydı.
Viyana Üniversitesi'nden ekip, saatte 100 milyon kullanıcı sorgulama hızına ulaşarak, kısa sürede 3.5 milyar telefon numarasının WhatsApp'ta kayıtlı olduğunu doğrulayabildiklerini iddia ediyor. Bu yöntemle toplanan veriler arasında telefon numaraları, profil fotoğrafları, 'hakkında' metinleri ve hatta uçtan uca şifreleme (E2EE) için kullanılan genel anahtarlar (public keys) bulunuyor.
Ele Geçirilen Veriler ve Potansiyel Riskler
Her ne kadar kullanıcılar bu verilerin çoğunu gizli tutma veya yalnızca bilinen kişilere açma seçeneğine sahip olsa da, araştırmanın sonuçları dikkat çekiciydi. Özellikle profil fotoğraflarının ve telefon numaralarının toplu halde ele geçirilmesi, kimlik avı (phishing) saldırıları ve spam kampanyaları için büyük bir risk oluşturuyor. Dahası, araştırmacılar bu verilerin ters telefon rehberi oluşturmak amacıyla kullanılabileceğini de vurguluyor.
Araştırmadan Çıkarılan Önemli Kullanıcı Davranışları
- Toplam WhatsApp numarasının %57'sinin profil fotoğrafları herkese açık durumdaydı.
- Açık profil fotoğraflarının üçte ikisinde (%66) tespit edilebilir insan yüzleri bulunuyordu.
- Toplanan veriler, ülke bazında kullanıcı sayılarını ve Android ile iOS kullanıcı oranlarını karşılaştırmaya olanak sağladı.
Meta'dan Gelen Acil Önlemler
Bu araştırma bulgularının yayınlanmasının ardından Meta, platformdaki güvenlik zafiyetlerini gidermek için hızla harekete geçti. Meta, yaptığı açıklamada bu çalışmanın kendilerinin zaten üzerinde çalıştığı anti-veri çekme (anti-scraping) sistemlerini güçlendirdiğini ve araştırmacılara işbirlikleri için minnettar olduklarını belirtti.
Alınan başlıca önlemler:
- Bireysel kullanıcı hesapları için telefon numarası sorgulama hızına artık katı bir sınır getirildi. Ancak, işletmelerin müşterileriyle güven inşa etmesine yardımcı olmak amacıyla WhatsApp İşletme (Business) hesapları bu sınırlamanın dışında tutulmaya devam ediyor.
- Profil fotoğrafları çekilirken, fotoğrafın ne zaman güncellendiğine dair zaman damgası (timestamp) bilgisi artık döndürülmüyor.
- Android istemcilerindeki oturum kapatma ve telefon numarası değişiklikleriyle ilgili bir
