WhatsApp üye dizininin tamamı çevrimiçi olarak mevcuttu ve korumasızdı. Avusturyalı araştırmacılar bu sayede tüm telefon numaralarını ve diğer profil verilerini (genel anahtarlar dahil) herhangi bir engelle karşılaşmadan indirebildiler. 3,5 milyardan fazla hesap buldular. Etkilenen kişi sayısına bakıldığında bu muhtemelen tüm zamanların en büyük veri çıkışıdır. Araştırma grubunun bir kısmı zaten WhatsApp ile birkaç kez ilgilendi ve örneğin, WhatsApp'ın şifrelemeye rağmen neler ortaya çıkardığını ve bir saldırganın WhatsApp şifrelemesini nasıl düşürebileceğini keşfetti. Ancak WhatsApp operatörü Meta Platformları bir yıl boyunca yeni araştırma sonuçlarına kulak asmadı.
Reklamdan sonra devamını okuyun
Viyana Üniversitesi ve Avusturya SBA Araştırması'ndan gelen grubun Eylül 2024'ten itibaren WhatsApp'a gönderdiği tekrarlanan uyarıların alındı olarak kabul edildiği ancak kısa süre sonra rafa kaldırıldığı belirtildi. Ancak araştırmacılar makalelerinin taslağını iki kez sunduklarında ve eşgüdümsüz bir şekilde yayınlanması yaklaştığında Meta uyandı: verilerden şaşırtıcı miktarda şey öğrenilebiliyor ve bazı kullanıcılar için bu durum yaşamı tehdit edici olabiliyor.
Öncelikle, rekabet ve mevzuat nedenleriyle Meta Platformların kendisi için hassas olan bilgiler var: Hangi ülkede kaç WhatsApp kullanıcısı var, Android ve iOS'a nasıl dağılmışlar, kaç tane işletme hesabı var, kayıp nedir (müşteri çıkışı) ve bariz büyük ölçekli dolandırıcılık merkezleri nerede. Ayrıca, kullanıcılar için rahatsız edici, hatta yaşamı tehdit edici olabilecek çeşitli veri sınıfları da var; ancak araştırmacılar uç cihazlara veya uç cihazlardan herhangi bir veri paketi aktarmadı (yalnızca WhatsApp sunucularına) ve WhatsApp iletişimlerinden herhangi bir içerik veya meta veriye müdahale etmedi.
Güncelleme
16:36
Saat
Meta, prosedüre kazıma adını veriyor ve çalışmanın bir parçası olarak toplanan verilerin güvenli bir şekilde silindiğini söylüyor. Ayrıca kötü niyetli aktörler tarafından kötüye kullanıldıklarına dair hiçbir kanıt yoktu. Meta ayrıca bunun mesajların içeriğiyle ilgili olmadığını, bunların varsayılan olarak uçtan uca şifrelendiğini vurgulamak ister.
“Viyana Üniversitesi'ndeki araştırmacılara, hata tespit programımızın bir parçası olarak gösterdikleri sorumlu ortaklık ve titizlik için minnettarız. Bu işbirliği, amaçladığımız sınırlarımızı aşan ve araştırmacıların kamuya açık temel bilgileri almasına olanak tanıyan yeni bir numaralandırma tekniğini belirledi. Zaten endüstri lideri kazımayı önleyici sistemler üzerinde çalışıyorduk ve bu çalışma, stres testi ve bu yeni savunmaların anında etkililiğinin doğrulanması açısından çok önemliydi.”
WhatsApp yasağı etkisiz
Aralık 2024 itibarıyla Çin Halk Cumhuriyeti, İran, Myanmar ve Kuzey Kore'de WhatsApp yasaklandı. Bununla birlikte araştırmacılar Çin'de 2,3 milyon, İran'da 60 milyon, Myanmar'da 1,6 milyon ve Kuzey Kore'de beş (5) aktif WhatsApp hesabı buldu. Bu bir avuç devlet aygıtı tarafından kurulmuş olabilir, ancak yetkililerin yasadışı WhatsApp kullanımından haberdar olması Çin ve Myanmar sakinleri için oldukça risklidir. Ve eğer sayı aralığının tamamı hızlı bir şekilde sorgulanabiliyorsa bu kolaylıkla gerçekleşir.
İran telefon numaralarının bulunduğu 60 milyon WhatsApp hesabı istatistiksel olarak nüfusun üçte ikisine tekabül ediyordu. Yasak açıkça orada işe yaramadı ve 2024 Noel Arifesinde kaldırıldı. Üç ay sonra zaten 67 milyon İranlı hesap vardı. Aynı WhatsApp hesabını birden fazla cihazda kullanan kişilerin sayısı önemli ölçüde arttı. Yasaklama aşamasında bu çok riskli görünüyordu ancak WhatsApp yasa dışı değilse iş bilgisayarınızda kullanmak isteyebilirsiniz.
Reklamdan sonra devamını okuyun
Profil resimleri ve bilgi alanı
Kullanıcıların neredeyse yüzde 30'u profillerinin “Bilgi” alanına bir şeyler girdi ve bazıları pek çok şeyi ortaya koyuyor: siyasi tutumlar, cinsel veya dini yönelimler, uyuşturucu kullanımıyla ilgili itiraflar ve ayrıca ürün yelpazesinin tam olarak bu alanda reklamını yapan uyuşturucu satıcıları. Viyanalı araştırmacılar ayrıca Tinder veya OnlyFans'taki sosyal ağlardaki profillere giden köprüler de dahil olmak üzere kullanıcının iş yeri hakkında bilgi buldu. Elbette, bund.de, state.gov gibi alan adları ve .mil bölgesindeki çeşitli e-posta adresleri de dahil olmak üzere e-posta adresleri eksik olamaz. Bu, doxxer'lar ve diğer saldırganların yanı sıra spam gönderenler ve basit dolandırıcılar için de ana hedeftir.
WhatsApp ayrıca en son değişikliğin zamanını da açıkladı; yalnızca bilgi alanında değil, aynı zamanda dünya çapındaki tüm WhatsApp kullanıcılarının yüzde 57'sinin yüklediği ve ABD hükümeti üyeleri de dahil olmak üzere herkes tarafından görülebilir olarak tanımlandığı profil fotoğraflarında da. Kuzey Amerika alan kodu +1 için araştırmacılar, herkesin görebildiği 77 milyon profil fotoğrafının tamamını indirdiler; bu, toplamda 3,8 terabaytlık etkileyici bir rakamdır. Bundan alınan yarım milyon görüntüden oluşan rastgele bir örnekte, yüz tanıma rutini vakaların üçte ikisinde bir insan yüzü buldu. Fotoğraflara kolay erişilebilirlik, yüz tanıma yoluyla çoğu durumda telefon numarasına veya tam tersine yönlendiren bir veri tabanının derlenmesini mümkün kılacaktı. Yüzü olmayan profil fotoğrafları bile konuşkan olabilir: bazen plakalar, sokak işaretleri veya yer işaretleri gösterilir.
Daha fazla bilgi, bir WhatsApp hesabı altında kaç cihazın kayıtlı olduğunun (beş taneye kadar) görüntülenmesiyle sağlanır. Sürekli atanan ID'lerden ek olarak kullanılan bu cihazların sık sık değiştirilip değiştirilmediği veya sabit kaldığı sonucuna varılabilir.
Bir yanıt yazın