Dünyanın en yaygın mesajlaşma uygulamalarından WhatsApp’ta tespit edilen kritik bir güvenlik açığı, yaklaşık 3,5 milyar kullanıcının telefon numarasının erişime açılmasına neden oldu. Uzmanlar, açığın yalnızca yarım saat içinde milyonlarca numaranın toplanmasına imkân veren son derece “basit” bir yöntemle kullanılabildiğine dikkat çekti.
Güvenlik araştırmacıları, söz konusu yöntemin kötü niyetli kişiler tarafından istismar edilmesi halinde bunun “tarihin en büyük veri sızıntısı”na dönüşebileceği uyarısında bulundu. En dikkat çekici nokta ise, açığın Meta’ya ilk kez 2017 yılında bildirilmiş olmasına rağmen şirketin yıllardır gerekli güvenlik önlemlerini hayata geçirmemiş olması.
Açık nasıl kullanıldı?
WhatsApp’ın kullanıcı doğrulama sistemi, bir telefon numarası rehbere eklendiğinde bu kişinin platformda olup olmadığını otomatik olarak gösteriyor. Aynı işlem, kullanıcının profil fotoğrafı ve isim bilgisine de erişim sağlıyor. Araştırmacılar, bu mekanizmanın limitsiz biçimde tekrarlanabilmesini kullanarak sistematik bir tarama gerçekleştirdi ve neredeyse tüm WhatsApp kullanıcılarının numaralarına ulaşmayı başardı.
Viyana Üniversitesi’nden araştırmacılar, sadece yarım saatte ilk 30 milyon ABD numarasını çekebildiklerini belirtti. Çalışmayı yürüten Aljosha Judmayer, “Bu, telefon numaraları ve ilişkili kullanıcı verilerinin şimdiye kadarki en geniş çaplı ifşasıdır” değerlendirmesinde bulundu.
Araştırmacıların topladığı veri tabanı Meta’ya iletildikten sonra güvenli şekilde silindi. Meta, sistem üzerinde kötü amaçlı kullanım izine rastlanmadığını açıkladı.
Meta: Hız limiteri devreye alındı
Meta, uzun süredir anti-scraping mekanizmaları üzerinde çalıştığını ve bu araştırmanın yeni savunmaların test edilmesine katkı sağladığını bildirdi. Şirket, uçtan uca şifreleme sebebiyle kullanıcı mesajlarının güvende olduğunu ve özel içeriklere erişim sağlanmadığını vurguladı.
Meta’nın açıklamasında, “Araştırmacıların topladığı veriler güvenli biçimde silindi ve bu yöntemle kötü amaçlı bir saldırı yapıldığına dair herhangi bir kanıt bulunmuyor” denildi. Şirket, olayın ardından sisteme işlem sınırlandırması (rate limit) getirildiğini ve kitlesel taramaların artık engellendiğini duyurdu.
Kaynak:Wired
Türkçe karakter kullanılmayan ve büyük harflerle yazılmış yorumlar onaylanmamaktadır.