Dünyanın en büyük mesajlaşma platformlarından WhatsApp’ta tespit edilen kritik güvenlik açığı küresel ölçekte yaklaşık 3 milyon 500 bin kullanıcının telefon numarası isim ve profil bilgilerini erişime açtı ve uzmanlara göre bu durum tarihin en büyük veri sızıntılarından biri olarak kayıtlara geçebilir.
Güvenlik araştırmacıları söz konusu açığın kötü niyetli kişiler tarafından kullanılması halinde tüm WhatsApp kullanıcılarının bilgilerinin sistematik biçimde çekilebileceğini belirtirken eleştirilerin odağındaki Meta’nın aynı açığın kendilerine ilk kez 2017 yılında bildirildiği halde sekiz yıldır gerekli güvenlik önlemlerini hayata geçirmediği ifade edildi.
Araştırmayı gerçekleştiren ekip WhatsApp’ın temel iletişim sisteminin bir telefon numarasının rehbere eklenmesiyle o kişinin platformda olup olmadığını anında gösterdiğini bu işlem sırasında profil fotoğrafı ve isim gibi bilgilerin de görülebildiğini hatırlatarak bu özelliğin limitsiz şekilde tekrarlanabildiğini tespit etti.
Viyana Üniversitesi araştırmacıları yöntemi kullanarak kısa sürede sistematik tarama yaptıklarını ve ilk 30 milyon ABD telefon numarasına yarım saat içinde ulaştıklarını belirterek bugün bildiklerimizle bu olay telefon numaralarının ve ilişkili kullanıcı verilerinin bugüne kadar en geniş çaplı ifşasıdır değerlendirmesinde bulundu. Araştırmacılar oluşturdukları dev veri tabanını Meta’ya ilettikten sonra güvenli biçimde sildiklerini açıkladı. Meta ise sistemde bu açığın kötü amaçlı kişiler tarafından kullanıldığına dair bir iz olmadığını duyurdu.
SİSTEM SINIRLANDI
Meta uzun süredir anti scraping savunmaları üzerine çalıştığını bu olayın da yeni güvenlik mekanizmalarının test edilmesinde önemli bir rol üstlendiğini belirtti.
Şirket kullanıcılara ait mesajların uçtan uca şifreleme ile korunduğunu ve hiçbir özel içeriğe erişilmediğini vurgularken araştırmacıların topladığı verilerin tamamen silindiğini açıkladı. Meta tarafından paylaşılan açıklamada bu çalışma güvenlik sistemlerimizin test edilmesi açısından kritik öneme sahipti araştırmacılar tarafından toplanan veriler güvenli biçimde ortadan kaldırılmıştır ve bu yöntemle kötü amaçlı bir saldırı gerçekleştirildiğine dair herhangi bir kanıt yoktur ifadeleri yer aldı.
Şirket olayın ardından sistem üzerinde işlem sınırlandırması getirdiklerini kitlesel taramaların önüne geçildiğini ve yeni hız limiteri sayesinde aynı numara aralıklarının kısa sürede tekrar tekrar sorgulanmasının engellendiğini duyurdu.
