Güvenlik uzmanları, söz konusu açığın yalnızca yarım saat içinde milyonlarca telefon numarasını çekebilecek kadar “basit” bir yöntemle kullanılabildiğini belirtti. Uzmanlar, eğer kötü niyetli kişiler aynı yöntemi kullanmış olsaydı bunun “tarihin en büyük veri sızıntısı”na dönüşebileceğini vurguladı.
Açığın en dikkat çeken yönü ise Meta’ya ilk kez 2017 yılında bildirilmiş olmasına rağmen şirketin sekiz yıl boyunca gerekli güvenlik önlemlerini hayata geçirmemiş olması.
Nasıl gerçekleşti?
WhatsApp’ın temel iletişim sistemi, bir kişinin telefon numarasının rehbere eklenmesiyle kullanıcının platformda olup olmadığını anında gösteriyor. Bu işlem profil fotoğrafı ve isim bilgisi gibi detayları da gösterebiliyor. Araştırmacılar, bu işlemin limitsiz şekilde tekrarlanabilmesini kullanarak sistematik tarama yapıp neredeyse tüm WhatsApp kullanıcılarının numaralarını çekmeyi başardı.
Viyana Üniversitesi’nden araştırmacılar, ilk 30 milyon ABD telefon numarasına yarım saat içinde ulaştıklarını ifade etti. Araştırmayı yürüten Aljosha Judmayer, “Bildiklerimiz ışığında bu, telefon numaralarının ve ilişkili kullanıcı verilerinin şimdiye kadarki en geniş çaplı ifşasıdır” dedi.
Araştırmacılar, veri tabanını Meta’ya ilettikten sonra güvenli şekilde sildi. Meta ise sistemde kötü niyetli kullanım izine rastlanmadığını açıkladı.
Meta: Önlemler alındı
Meta, uzun süredir anti-scraping sistemleri üzerinde çalıştığını ve bu araştırmanın yeni savunmaları test etmeye yardımcı olduğunu belirtti. Şirket, kullanıcı mesajlarının uçtan uca şifreleme ile korunduğunu ve özel içeriklere erişilmediğini vurguladı.
Meta’nın açıklamasında, “Bu çalışma, güvenlik sistemlerimizin test edilmesinde önemli rol oynadı. Araştırmacıların topladığı veriler güvenli biçimde silindi ve bu yöntemle kötü amaçlı bir saldırı yapıldığına dair herhangi bir kanıt bulunmuyor” ifadeleri yer aldı.
Şirket, olayın ardından sistem üzerinde işlem sınırlandırması getirerek kitlesel taramaların önüne geçtiğini açıkladı.
