WhatsApp’ın yıllardır büyümesinin arkasında, “numarayı ekle, anında bul” kolaylığı var. Avusturya’daki bir araştırma ekibi, bu kolaylığın kötüye kullanıldığında ne kadar tehlikeli olabileceğini gösterdi: WhatsApp’ın kişi bulma (contact discovery) mantığını otomasyona bağlayarak 3,5 milyar hesabın telefon numarasını, çok sayıda profil fotoğrafını ve “Hakkımda” yazılarını tarayabildiler. Bu, kötü niyetli kişilerin eline geçseydi tarihin en büyük veri sızıntılarından biri olabilirdi.
Ne oldu?
Araştırmacılar, WhatsApp’ın web arayüzünü kullanarak, “Bu numara WhatsApp’ta var mı?” sorgusunu saniyeler içinde milyonlarca kez tekrarladı. Etkili bir hız sınırlamasıyla engellenmeyen bu yöntemle saatte 100 milyon numara kontrol edilebildi. Toplamda 245 ülkeden 3,5 milyardan fazla aktif hesap doğrulandı; bu hesapların yüzde 57’sinde profil fotoğrafı, yaklaşık yüzde 29’unda da herkese açık “Hakkımda” metni görülebiliyordu. Toplanan veriler arasında zaman damgaları ve herkese açık şifreleme anahtarları da yer aldı.
Bu çapta doğrulanmış telefon listeleri dolandırıcılar için altın madeni. Dahası, ekibin taraması Çin ve Myanmar gibi WhatsApp’ın yasak olduğu ülkelerde bile milyonlarca kayıtlı numara olduğunu ortaya koydu. Araştırmacılar ayrıca bazı hesaplarda tekrarlanan/uygunsuz kriptografik anahtarlar gördüklerini, bunun da kimi kötü niyetli üçüncü taraf istemcilerin kullanılmış olabileceğine işaret ettiğini belirtiyor.
Meta ne dedi, kullanıcı ne yapabilir?
Meta, Nisan 2025’te haberdar edildiğini, Ekim 2025’te daha sıkı hız sınırlaması ve ek önlemlerle bu açığın kapatıldığını söylüyor. Şirket, araştırmacılara hata ödül programı kapsamında teşekkür ederken, erişilen bilgilerin zaten “kamuya açık tercihli veriler” olduğunu ve uçtan uca şifrelemenin mesaj içeriklerini koruduğunu vurguluyor. Araştırma önbülteni 18 Kasım 2025’te yayımlandı ve bulguların 2026’daki NDSS’te sunulması planlanıyor.
Kullanıcılar ne yapabilir?
- Profil fotoğrafı ve “Hakkımda” görünürlüğünü “Kişilerim” ya da “Hiç kimse” olarak ayarlayın; “Son görülme ve çevrimiçi” ile “Profil bilgileri” izinlerini daraltın.
- İki adımlı doğrulamayı açın; tanımadığınız numaralardan gelen mesaj ve aramalara karşı temkinli olun.
- WhatsApp’ın üzerinde çalıştığı “kullanıcı adı” özelliği yayına girdiğinde telefon numarası paylaşmadan iletişim kurmak mümkün olacak. Özellik şu an beta geliştirme aşamasında ve 2026’da geniş dağıtım bekleniyor.
Son olarak: Bu çalışma, popüler mesajlaşma servislerinin telefon numarasını “kimlik” olarak kullanmasının doğurduğu yapısal risklere dikkat çekiyor. Kullanım kolaylığı önemli; ama gizlilik ayarlarını sıkı tutmak ve yeni kimlik seçenekleri (kullanıcı adı gibi) çıktığında bunları değerlendirmek, riskinizi ciddi şekilde azaltır.
Kaynak: www.techspot.com