Güvenlik araştırmacıları, yaklaşık 3,5 milyar WhatsApp kullanıcısının telefon numarasını çıkarmalarına olanak tanıyan açık bir kusuru ortaya çıkardı.
WhatsApp'ın aşırı kullanım kolaylığı da şüphesiz en büyük zayıflığıdır. Avusturyalı güvenlik araştırmacılarından oluşan bir ekip, yaklaşık 3,5 milyar mobil numaradaki anlık mesajlaşma kullanıcısını başarılı bir şekilde çıkararak bunu kanıtladı. Ve oraya ulaşmak için çok uzağa bakmadılar.
2017'deki eski bir kusur Meta tarafından asla düzeltilmedi
Kullanıcı verilerini başarıyla bulmak için kullanılan yöntem çok teknik değildir. Araştırmacılar aslında doğrudan mesajlaşma uygulamasının kişi bulma sistemini kullandı. Mümkün olan tüm telefon numaralarını tek tek kaydederek, hiç zorlanmadan kullanıcıları bulmayı ve isimlerini almayı başardılar. Bir WhatsApp kullanıcısıyla eşleşen 3,5 milyar numaranın yarısından biraz fazlası, numarayla ilişkili kullanıcının fotoğrafını bile çekmelerine izin veriyor ve bu sayıların neredeyse üçte biri, duruma erişmelerine izin veriyor.
Bu araştırmacıların gündeme getirdiği temel sorun, bu güvenlik “ihlalinin” Meta tarafından uzun zamandır biliniyor olmasıdır. 2017 yılında başka bir güvenlik araştırmacısı, WhatsApp'ın ana şirketini bu yöntemi kullanarak veri çıkarma olasılığı konusunda uyarmıştı. Bu uyarıya rağmen Meta, örneğin bir kullanıcıyı aramak için başlatılabilecek sorgu sayısını sınırlandırarak sistemini değiştirmeyi hiçbir zaman uygun görmedi. Araştırmacılar, operasyonlarını gerçekleştirmek için doğrudan hizmetin web arayüzünden geçtiler ve bu da onlara saatte yaklaşık 100 milyon sayıyı doğrulama olanağı sağladı.
Potansiyel olarak tarihin en büyük veri sızıntısı
İyi haber şu ki, bu verilerin çıkarılması kötü niyetli kişiler tarafından gerçekleştirilmedi. Ancak bu keşfin arkasındaki araştırmacılardan biri olan Aljosha Judmayer, “Bildiğimiz kadarıyla bu, telefon numaralarının ve ilgili verilerin şimdiye kadar belgelenen en kapsamlı şekilde açığa çıkarılmasıdır” dedi.
Daha sonra WhatsApp kullanıcılarının 3,5 milyar telefon numarasının kopyasını silen araştırmacılar, geçen Nisan ayında Meta'yı bu keşif konusunda uyardıklarını söylüyor. Meta nihayet Ekim ayında, bir kişiyi aramak için gönderilebilecek taleplerin sayısını sınırlamayı amaçlayan bir güncelleme yayınladı. O zamandan beri Avusturyalı araştırma ekibini Bug Bounty programı aracılığıyla ödüllendiren WhatsApp'ın ana şirketi, bunun yalnızca “temel kamuya açık bilgi” olduğuna inanarak olayları küçümsemeye çalıştı.
👉🏻 Teknoloji haberlerini gerçek zamanlı olarak takip edin: 01net'i Google Haberler'deki kaynaklarınıza ekleyin, WhatsApp kanalımıza abone olun veya bizi TikTok'ta video olarak takip edin.
Kaynak :
kablolu
Bir yanıt yazın