Avusturyalı araştırmacılar, WhatsApp’ın tarayıcı tabanlı uygulamasındaki basit bir özelliği kullanarak 3.5 milyar kullanıcının telefon numarasını ortaya çıkardı. Kullanıcıların %57’sinin profil fotoğrafları ve %29’unun profil metinleri de erişilebilir durumdaydı. Meta, Nisan’da uyarıldıktan sonra Ekim’de rate-limiting ile sorunu düzeltti, ancak araştırmacılar “Eğer biz bunu kolayca yaptıysak, başkaları da yapmış olabilir” diyor. Bu, telefon numaralarının gizli tanımlayıcı olarak kullanımının yarattığı büyük riskleri bir kez daha gözler önüne seriyor.
Detaylar haberimizde
WhatsApp’ın Kişi Keşif Özelliği Nasıl Bir Tehlike Yarattı?
WhatsApp, kullanıcıların bir telefon numarası eklediğinde o kişinin uygulamada olup olmadığını anında göstermesiyle bilinir. Bu özellik, genellikle profil fotoğrafı ve isim gibi bilgileri de ortaya çıkarır (eğer kullanıcı gizlilik ayarlarını sıkı tutmuyorsa). Ancak Viyana Üniversitesi’nden bir grup araştırmacı, bu özelliği sistematik olarak kullanarak her olası telefon numarasını kontrol etti ve sonuçta neredeyse tüm WhatsApp kullanıcılarının telefon numaralarını listeledi.
Araştırmacılar tarayıcı tabanlı WhatsApp uygulamasını kullanarak saatte yaklaşık 100 milyon numara kontrol edebildi. Toplamda 3.5 milyar telefon numarası ortaya çıkardı; bunların %57’sinde profil fotoğrafları, %29’unda ise profil metinleri erişilebilir durumdaydı. Araştırmacılar, bu verileri sorumlu bir şekilde topladıklarını, Meta’ya bildirdikten sonra sildiklerini ve hiçbir kötü niyetli kullanım yapmadıklarını belirtiyor.WhatsApp, bu yıl İsrailli casus yazılım şirketi Paragon Solutions‘ın gazeteciler ve sivil toplum üyeleri de dahil olmak üzere çok sayıda kullanıcısını hedef aldığını söylemişti.
Bu yöntem, 2017’de Hollandalı araştırmacı Loran Kloeze tarafından zaten uyarılmıştı. Kloeze, o dönemde benzer bir teknikle telefon numaralarını, profil fotoğraflarını ve çevrimiçi durumları ortaya çıkarabileceğini göstermiş, ancak Meta bunu “gizlilik ayarlarının tasarlandığı gibi çalıştığı” şeklinde savunarak bug bounty ödemeyi reddetmişti. Araştırmacılar, 8 yıl sonra aynı sorunun daha büyük ölçekte devam ettiğini ve Meta’nın etkili rate-limiting (hız sınırlama) veya anti-scraping önlemleri uygulamadığını vurguluyor.
Araştırmacıların Bulguları ve Ülke Bazında Dağılım
Araştırmacılar, Aljosha Judmayer, Max Günther ve Gabriel Gegenhuber liderliğinde çalışmayı yürüttü. Judmayer, “Bilinen en kapsamlı telefon numarası ve kullanıcı verisi sızıntısı” olarak tanımladı. Bulgular şöyle:
- ABD’de 137 milyon numara: %44’ünde profil fotoğrafı, %33’ünde profil metni görünür.
- Hindistan’da 750 milyon numara: %62’sinde profil fotoğrafı.
- Brezilya’da 206 milyon numara: %61’inde profil fotoğrafı.
Ayrıca, WhatsApp’ın yasak olduğu ülkelerde (Çin’de 2.3 milyon, Myanmar’da 1.6 milyon kullanıcı) numaralar tespit edildi; bu, hükümetlerin kullanıcıları takip etmesi riskini artırıyor. Araştırmacılar, kriptografik anahtarları incelediklerinde bazı anahtarların yüzlerce kez tekrarlandığını (hatta bazı ABD numaralarında tamamen sıfır anahtar) tespit etti; bu, muhtemelen yetkisiz istemciler veya dolandırıcı hesaplarından kaynaklanıyor.
Gabriel Gegenhuber, “Yarım saatte 30 milyon ABD numarasına ulaştık” diyerek yöntemin kolaylığını anlattı. Max Günther ise, “Biz bunu bu kadar kolay yaptıysak, başkaları da yapmış olabilir” uyarısında bulundu.
Meta’nın Yanıtı ve Alınan Önlemler
Meta, araştırmacıları bug bounty programı üzerinden ödüllendirdi ve sorunu Ekim ayında daha sıkı rate-limiting ile çözdüklerini açıkladı. WhatsApp Mühendislik Başkan Yardımcısı Nitin Gupta, “Zaten sektör lideri anti-scraping sistemleri üzerinde çalışıyorduk; bu araştırma yeni savunmalarımızın etkinliğini doğrulamamıza yardımcı oldu” dedi. Şirket, kötü niyetli bir kullanım kanıtı bulmadıklarını, mesajların uçtan uca şifreli kaldığını ve açığa çıkan verilerin zaten “kamuya açık” olduğunu savundu.
Ancak araştırmacılar, hiçbir savunma mekanizması ile karşılaşmadıklarını ve sorunu kolayca tekrarlayabildiklerini belirtiyor. Meta’nın 2017’deki benzer uyarıyı ciddiye almadığı eleştirisi de gündemde.
Riskler ve Potansiyel Sonuçlar
Bu sızıntı, doğrudan mesaj içeriğini etkilemese de ciddi tehlikeler barındırıyor:
- Dolandırıcılar ve spam’cılar için hazır hedef listesi.
- Yüz tanıma teknolojileriyle birleştirildiğinde kimlik hırsızlığı.
- Baskıcı rejimlerde (Çin, Myanmar) kullanıcıların takibi ve tutuklanması (örneğin, Çin’de Uygur Müslümanların WhatsApp kullandığı için gözaltına alındığı raporlar var).
- Telefon numaralarının rastgele olmayan yapısı, milyarlarca kullanıcı için güvenli tanımlayıcı olmaktan uzak.
Araştırmacılar, telefon numaralarının “gizli tanımlayıcı” olarak kullanılmasının temel sorun olduğunu vurguluyor: “Telefon numaraları gizli olmak için tasarlanmadı, ama pratikte öyle kullanılıyor.”
Gelecekte Ne Değişecek? Kullanıcı Adı Sistemi Geliyor
WhatsApp, gizliliği artırmak için kullanıcı adı (username) sistemini test ediyor. Bu sayede telefon numarası paylaşmadan iletişim kurulabilecek. Kaynaklar, bu özelliğin 2026’da yaygınlaşacağını öngörüyor.
Türkiye’de WhatsApp’ın 85 milyondan fazla kullanıcısı var; KVKK kapsamında telefon numaraları kişisel veri sayılıyor. Bu tür sızıntılar, yerel dolandırıcılık ve taciz vakalarını artırabilir. Kullanıcılara öneri: Profil fotoğrafı ve “hakkında” metnini gizleyin (Ayarlar > Gizlilik > Profil Fotoğrafı/Hakkında > Kimse).
Bu olay, uçtan uca şifrelemenin mesajları koruduğunu, ancak meta verilerin (telefon numarası gibi) hala savunmasız kalabileceğini gösteriyor. Dijital gizlilik için platformların daha proaktif olması şart.
