WhatsApp, kullanıcılarının telefon numaralarını yıllar boyunca kötü niyetli kişilerin kolayca erişebileceği şekilde açıkta bıraktı. Avusturyalı araştırmacıların gerçekleştirdiği bir çalışma, yaklaşık 3,5 milyar kullanıcının telefon numarasının çok basit bir yöntemle elde edilebildiğini ortaya koydu. Bu güvenlik açığı, yıllar önce fark edilmesine rağmen Meta tarafından uzun süre göz ardı edildi.
Araştırmacılar, herhangi bir gelişmiş siber saldırı tekniği uygulamadan, WhatsApp Web üzerinden çok büyük ölçekli bir tarama gerçekleştirerek bu bilgilere ulaşmayı başardı. Sistemin işleyişinden faydalanarak milyarlarca telefon numarasını sırayla eklediler ve WhatsApp’ın otomatik olarak kullanıcı profili sunup sunmadığını gözlemlediler. Bu yöntem sayesinde hem numaranın WhatsApp hesabına ait olup olmadığı anlaşılabiliyor hem de kullanıcı profil fotoğrafı ve durumu gibi bilgiler görülebiliyordu.
WhatsApp konuyla ilgili olarak yıllar önce uyarılmıştı
WhatsApp’ın çatı şirketi Meta, benzer bir zafiyet hakkında 2017 yılında başka bir araştırmacı tarafından uyarılmıştı. Fakat buna rağmen kullanıcı güvenliğini koruyacak etkili bir sistem sınırlaması uzun süre devreye alınmadı. Avusturyalı araştırmacıların 2025 yılının Nisan ayında durumu yeniden bildirmesinin ardından, şirket ancak Ekim ayında kademeli olarak “rate-limiting” yani istek sınırlama sistemi getirdi. Bu düzenleme sayesinde artık WhatsApp Web üzerinden saniyede milyonlarca numara sorgulamak mümkün değil.
Ne var ki, bu güvenlik önlemi uygulanana kadar geçen süreçte, kötü niyetli kişi ya da grupların bu yöntemi kullanarak geniş çapta veri toplama ihtimali ciddi bir risk olarak ortada kaldı. Araştırmaya göre, WhatsApp kullanıcılarının yaklaşık %57’sinin profil fotoğrafları da erişilebilirdi. Ayrıca %29’luk bir kesimin profil durum mesajları da kolayca görülebilecek durumdaydı.
Meta ise konuyla ilgili yaptığı açıklamada, erişilen tüm bilgilerin kullanıcıların gizlilik ayarlarına bağlı olarak zaten herkese açık olduğunu belirtti. Şirket, profil fotoğrafı ve durum bilgilerinin sadece gizlilik ayarlarında açık bırakılmış olan hesaplarda göründüğünü ifade etti. Bununla birlikte Meta, araştırmacıların hiçbir özel veya gizli veriye ulaşmadığını ve bugüne kadar bu yöntemin kötü niyetli aktörler tarafından kullanıldığına dair bir bulguya rastlanmadığını savundu.
Her ne kadar Meta’nın bu açıklamaları endişeleri bir nebze azaltmaya çalışsa da, milyonlarca kullanıcının bilgilerinin uzun süre sistematik şekilde toplanabilir durumda olması, platformun güvenlik ve gizlilik anlayışının tekrar sorgulanmasına yol açtı. Özellikle reklam, kimlik avı ve dolandırıcılık faaliyetleri için temel veri sağlayan bu tarz sızıntılar, dijital güvenliğin sürdürülebilirliği açısından ciddi bir sorun teşkil ediyor.
