Ana SayfaDijital Güvenlik3.5 milyar kullanıcı telefonu ifşa oldu: WhatsApp gizlilik ayarlarınızı kontrol edin!

3.5 milyar kullanıcı telefonu ifşa oldu: WhatsApp gizlilik ayarlarınızı kontrol edin!

Yayımlandı:

- Bu Alana Reklam Vermek İçin: bilgi@dijitaliyidir.comspot_img

Avusturyalı araştırmacılar, WhatsApp’ın tarayıcı tabanlı uygulamasındaki basit bir özelliği kullanarak 3.5 milyar kullanıcının telefon numarasını ortaya çıkardı. Kullanıcıların %57’sinin profil fotoğrafları ve %29’unun profil metinleri de erişilebilir durumdaydı. Meta, Nisan’da uyarıldıktan sonra Ekim’de rate-limiting ile sorunu düzeltti, ancak araştırmacılar “Eğer biz bunu kolayca yaptıysak, başkaları da yapmış olabilir” diyor. Bu, telefon numaralarının gizli tanımlayıcı olarak kullanımının yarattığı büyük riskleri bir kez daha gözler önüne seriyor.

Detaylar haberimizde

WhatsApp’ın Kişi Keşif Özelliği Nasıl Bir Tehlike Yarattı?

WhatsApp, kullanıcıların bir telefon numarası eklediğinde o kişinin uygulamada olup olmadığını anında göstermesiyle bilinir. Bu özellik, genellikle profil fotoğrafı ve isim gibi bilgileri de ortaya çıkarır (eğer kullanıcı gizlilik ayarlarını sıkı tutmuyorsa). Ancak Viyana Üniversitesi’nden bir grup araştırmacı, bu özelliği sistematik olarak kullanarak her olası telefon numarasını kontrol etti ve sonuçta neredeyse tüm WhatsApp kullanıcılarının telefon numaralarını listeledi.

WhatsApp, İsrailli casus yazılım şirketi Paragon Solutions'ın gazeteciler ve sivil toplum üyeleri de dahil olmak üzere çok sayıda kullanıcısını hedef aldığını söylemişti.
WhatsApp, İsrailli casus yazılım şirketi Paragon Solutions’ın gazeteciler ve sivil toplum üyeleri de dahil olmak üzere çok sayıda kullanıcısını hedef aldığını söylemişti.

Araştırmacılar tarayıcı tabanlı WhatsApp uygulamasını kullanarak saatte yaklaşık 100 milyon numara kontrol edebildi. Toplamda 3.5 milyar telefon numarası ortaya çıkardı; bunların %57’sinde profil fotoğrafları, %29’unda ise profil metinleri erişilebilir durumdaydı. Araştırmacılar, bu verileri sorumlu bir şekilde topladıklarını, Meta’ya bildirdikten sonra sildiklerini ve hiçbir kötü niyetli kullanım yapmadıklarını belirtiyor.WhatsApp, bu yıl İsrailli casus yazılım şirketi Paragon Solutions‘ın gazeteciler ve sivil toplum üyeleri de dahil olmak üzere çok sayıda kullanıcısını hedef aldığını söylemişti.

Bu yöntem, 2017’de Hollandalı araştırmacı Loran Kloeze tarafından zaten uyarılmıştı. Kloeze, o dönemde benzer bir teknikle telefon numaralarını, profil fotoğraflarını ve çevrimiçi durumları ortaya çıkarabileceğini göstermiş, ancak Meta bunu “gizlilik ayarlarının tasarlandığı gibi çalıştığı” şeklinde savunarak bug bounty ödemeyi reddetmişti. Araştırmacılar, 8 yıl sonra aynı sorunun daha büyük ölçekte devam ettiğini ve Meta’nın etkili rate-limiting (hız sınırlama) veya anti-scraping önlemleri uygulamadığını vurguluyor.

Araştırmacıların Bulguları ve Ülke Bazında Dağılım

Araştırmacılar, Aljosha Judmayer, Max Günther ve Gabriel Gegenhuber liderliğinde çalışmayı yürüttü. Judmayer, “Bilinen en kapsamlı telefon numarası ve kullanıcı verisi sızıntısı” olarak tanımladı. Bulgular şöyle:

  • ABD’de 137 milyon numara: %44’ünde profil fotoğrafı, %33’ünde profil metni görünür.
  • Hindistan’da 750 milyon numara: %62’sinde profil fotoğrafı.
  • Brezilya’da 206 milyon numara: %61’inde profil fotoğrafı.

Ayrıca, WhatsApp’ın yasak olduğu ülkelerde (Çin’de 2.3 milyon, Myanmar’da 1.6 milyon kullanıcı) numaralar tespit edildi; bu, hükümetlerin kullanıcıları takip etmesi riskini artırıyor. Araştırmacılar, kriptografik anahtarları incelediklerinde bazı anahtarların yüzlerce kez tekrarlandığını (hatta bazı ABD numaralarında tamamen sıfır anahtar) tespit etti; bu, muhtemelen yetkisiz istemciler veya dolandırıcı hesaplarından kaynaklanıyor.

Gabriel Gegenhuber, “Yarım saatte 30 milyon ABD numarasına ulaştık” diyerek yöntemin kolaylığını anlattı. Max Günther ise, “Biz bunu bu kadar kolay yaptıysak, başkaları da yapmış olabilir” uyarısında bulundu.

Meta’nın Yanıtı ve Alınan Önlemler

Meta, araştırmacıları bug bounty programı üzerinden ödüllendirdi ve sorunu Ekim ayında daha sıkı rate-limiting ile çözdüklerini açıkladı. WhatsApp Mühendislik Başkan Yardımcısı Nitin Gupta, “Zaten sektör lideri anti-scraping sistemleri üzerinde çalışıyorduk; bu araştırma yeni savunmalarımızın etkinliğini doğrulamamıza yardımcı oldu” dedi. Şirket, kötü niyetli bir kullanım kanıtı bulmadıklarını, mesajların uçtan uca şifreli kaldığını ve açığa çıkan verilerin zaten “kamuya açık” olduğunu savundu.

Ancak araştırmacılar, hiçbir savunma mekanizması ile karşılaşmadıklarını ve sorunu kolayca tekrarlayabildiklerini belirtiyor. Meta’nın 2017’deki benzer uyarıyı ciddiye almadığı eleştirisi de gündemde.

Riskler ve Potansiyel Sonuçlar

Bu sızıntı, doğrudan mesaj içeriğini etkilemese de ciddi tehlikeler barındırıyor:

  • Dolandırıcılar ve spam’cılar için hazır hedef listesi.
  • Yüz tanıma teknolojileriyle birleştirildiğinde kimlik hırsızlığı.
  • Baskıcı rejimlerde (Çin, Myanmar) kullanıcıların takibi ve tutuklanması (örneğin, Çin’de Uygur Müslümanların WhatsApp kullandığı için gözaltına alındığı raporlar var).
  • Telefon numaralarının rastgele olmayan yapısı, milyarlarca kullanıcı için güvenli tanımlayıcı olmaktan uzak.

Araştırmacılar, telefon numaralarının “gizli tanımlayıcı” olarak kullanılmasının temel sorun olduğunu vurguluyor: “Telefon numaraları gizli olmak için tasarlanmadı, ama pratikte öyle kullanılıyor.”

Gelecekte Ne Değişecek? Kullanıcı Adı Sistemi Geliyor

WhatsApp, gizliliği artırmak için kullanıcı adı (username) sistemini test ediyor. Bu sayede telefon numarası paylaşmadan iletişim kurulabilecek. Kaynaklar, bu özelliğin 2026’da yaygınlaşacağını öngörüyor.

Türkiye’de WhatsApp’ın 85 milyondan fazla kullanıcısı var; KVKK kapsamında telefon numaraları kişisel veri sayılıyor. Bu tür sızıntılar, yerel dolandırıcılık ve taciz vakalarını artırabilir. Kullanıcılara öneri: Profil fotoğrafı ve “hakkında” metnini gizleyin (Ayarlar > Gizlilik > Profil Fotoğrafı/Hakkında > Kimse).

Bu olay, uçtan uca şifrelemenin mesajları koruduğunu, ancak meta verilerin (telefon numarası gibi) hala savunmasız kalabileceğini gösteriyor. Dijital gizlilik için platformların daha proaktif olması şart.

Günde sadece 1 TL'ye abone olarak tüm içeriklerimize sınırsız erişebilir ve bağımsız haberciliğe destek olabilirsiniz! Hemen Abone Ol

Son Eklenenler

Nolan’dan Tartışma Yaratan Çıkış: “Gençler Yapay Zekâyı Reddediyor” — Peki Öyle mi?

Odysseia'nın vizyonuna günler kala Nolan'dan tartışma yaratan tespit: "Gençler yapay zekâyı reddediyor." Peki gerçekten reddediş mi, yoksa seçici bir ilişki mi? Kültür endüstrisinin yeni fay hattı.

Neler Oluyor? – 14 Temmuz

Düzenleyiciler yapay zekâyı "sistemik" ilan etti, Grok kodlama aracının depoları buluta yüklediği ortaya çıktı, Xi Jinping ilk kez yapay zekâ kürsüsüne çıkıyor ve Nolan'dan tartışmalı çıkış. İşte bugün neler oluyor.

Grok Kodlama Aracı Hakkında Çarpıcı Analiz: “Gizlilik Anahtarı Kapalıyken Bile Depoyu Buluta Yüklüyor”

Bağımsız ağ analizi: Grok Build CLI, her oturumda 12 GB'lık depodan 5,1 GB veriyi buluta yüklüyor — model trafiği yalnızca 192 KB. Tuzak API anahtarı trafikte aynen görüldü, gizlilik anahtarı işe yaramıyor.

Nobel Ödüllü İsimler de Dahil 200’den Fazla Uzman: Yapay Zeka için Derhal Harekete Geçilmeli

Aralarında 15 Nobel ödüllü ile OpenAI, Anthropic ve Google araştırmacılarının da bulunduğu 200'den fazla araştırmacı ve ekonomist, Pazartesi günü ortak imzalı bir açıklama yayımlayarak hükümetleri yapay zekanın ekonomik sonuçlarını acilen ele almaya çağırdı.

Buna benzer diğer içerikler

Nolan’dan Tartışma Yaratan Çıkış: “Gençler Yapay Zekâyı Reddediyor” — Peki Öyle mi?

Odysseia'nın vizyonuna günler kala Nolan'dan tartışma yaratan tespit: "Gençler yapay zekâyı reddediyor." Peki gerçekten reddediş mi, yoksa seçici bir ilişki mi? Kültür endüstrisinin yeni fay hattı.

Neler Oluyor? – 14 Temmuz

Düzenleyiciler yapay zekâyı "sistemik" ilan etti, Grok kodlama aracının depoları buluta yüklediği ortaya çıktı, Xi Jinping ilk kez yapay zekâ kürsüsüne çıkıyor ve Nolan'dan tartışmalı çıkış. İşte bugün neler oluyor.

Grok Kodlama Aracı Hakkında Çarpıcı Analiz: “Gizlilik Anahtarı Kapalıyken Bile Depoyu Buluta Yüklüyor”

Bağımsız ağ analizi: Grok Build CLI, her oturumda 12 GB'lık depodan 5,1 GB veriyi buluta yüklüyor — model trafiği yalnızca 192 KB. Tuzak API anahtarı trafikte aynen görüldü, gizlilik anahtarı işe yaramıyor.