Bir kez daha oldu: Teknoloji şirketi Meta'nın popüler sohbet hizmeti Whatsapp, uzun bir süre boyunca büyük bir güvenlik açığından etkilendi. Viyana Üniversitesi'ndeki araştırmacılara göre, cep telefonu numaraları da dahil olmak üzere 3,2 milyar WhatsApp hesabının tamamı hakkındaki bilgiler ele geçirilebilir. Meta artık güvenlik açığını kapattı. Suçluların bunları halihazırda kullanıp kullanamadığı belli değil. Bir sözcü, Editorial Network Almanya'ya (Haberler) Meta'nın kendisinin herhangi bir istismar kanıtı bulamadığını söyledi.
Daha sonra okuyun Reklamcılık
Daha sonra okuyun Reklamcılık
Araştırmacılar, kişileri bulmak için verileri WhatsApp mekanizması aracılığıyla elde etti. Bu, diğer WhatsApp kullanıcılarını telefon numaralarına göre tanımak için kullanıcının adres defterini kullanır. Araştırmacılar saatte 100 milyondan fazla telefon numarasını sorgulayabildiler ve böylece 245 ülkede 3,5 milyardan fazla aktif hesabı doğruladılar.
Telefon numarası, genel anahtarlar, zaman damgalarının yanı sıra genel profil resmi ve “Hakkımda” metni gibi verilere ek olarak, örneğin işletim sistemi, hesabın yaşı ve bağlı cihazların sayısı hakkında ek bilgiler de elde edilebilir. Sorunun nedeni görünüşe göre sorgularda bir sınırın olmamasıydı. Bu, hizmete kayıt için telefon numaralarının sistematik olarak kontrol edilebileceği ve bağlantılı verilerin okunabileceği anlamına geliyordu.
WhatsApp uçtan uca şifreleme kullandığından mesajların içeriği etkilenmedi. Ancak durum hala çok çarpıcı: Makalelerinde yazarlar, Meta'nın keşiflerine çok az ilgi gösterdiğini ve aylarca üniversitenin güvenlik talimatlarına yanıt vermediğini yazıyor.
Daha sonra okuyun Reklamcılık
Daha sonra okuyun Reklamcılık
Gruba keşifler hakkında ilk kez 5 Eylül 2024'te bilgi verildi. Bundan sonra, 24 Eylül 2024'te yalnızca kısa bir alındı onayı alındı, ancak 8 Ağustos 2025'e kadar başka geri bildirim yapılmadı.
Dahası: Bu türdeki ilk vakadan çok uzak. Meta'da 2021'den itibaren bir veri sızıntısı, bugün etkilenenler için hala sonuçlar doğuruyor.
Facebook'ta veri sızıntısı dolandırıcılık girişimine neden oluyor
O dönemde 533 milyon Facebook kullanıcısının telefon numaraları bir hacker forumunda yayınlanıyordu. Bunun temelinde ise 2019'daki bir güvenlik açığı olduğu görülüyor. Facebook'un “Arkadaş Ekle” işlevindeki bir hata, herhangi bir kullanıcının telefon numarasının istenmesine olanak tanıyordu.
Meta o sırada hızlı tepki verdi ve güvenlik açığını kapattı; ancak hasar zaten verilmişti. Bilinmeyen kişiler daha önce Almanya'daki kullanıcılar da dahil olmak üzere yüz milyonlarca veriye erişmeyi başarmıştı. Basında çıkan haberlere göre, veri seti 30.000 dolara yeniden satıldı ve daha sonra çevrimiçi olarak ücretsiz olarak dağıtıldı.
Daha sonra okuyun Reklamcılık
Daha sonra okuyun Reklamcılık
Sonuç: Etkilenenler, beş yıldan fazla bir süredir sinir bozucu dolandırıcılık aramalarından, sözde paket servislerinden gelen kısa mesajlardan veya aniden Whatsapp'la iletişime geçip para dilenen aile üyelerinden şikayetçi oluyor. Bu tür dolandırıcılık girişimleri genellikle bu şekilde fark edilse de, bir anlık zayıflık yine de onlara kapılmaları için yeterli olabilir. Sonraki yıllarda Meta, birçok Facebook kullanıcısına tazminat ödemek zorunda kaldı.
Dolandırıcılık e-postaları ve SMS: Suçlular telefon numaranızı bu şekilde alıyor
Tüketici danışma merkezleri, SMS, WhatsApp ve e-posta yoluyla gönderilen sözde kimlik avı mesajlarının artan hacmi konusunda uyarıda bulunuyor. Genellikle tanınmış şirketlerin resmi mektupları olarak gizlenirler. Suçlular iletişim bilgilerini nasıl elde ediyor?
Güvenlik açığı, bilgisayar korsanlarının akıllı telefona erişmesine izin verdi
Ama burada durmadı. Bu yılın eylül ayında meta hizmeti Whatsapp, popüler sohbet hizmetinde “sıfır tıklama güvenlik açığı” olarak adlandırılan bir durum hakkında kullanıcılarını bilgilendirdi. Bu, bilgisayar korsanlarının herhangi bir cep telefonu numarasına dosya gönderebileceği ve yaygın kötü amaçlı yazılımı kullanarak akıllı telefonun kendisine erişebileceği anlamına geliyor.
İşin hain tarafı: Böyle bir saldırıda kullanıcının gönderilen dosyaya tıklamasına bile gerek kalmaz; dosyanın arka planda Whatsapp tarafından işlenmesi, casus yazılım enjekte etmek için yeterlidir. Mevcut durumda hem iPhone hem de Samsung kullanıcıları etkilendi.
Uluslararası Af Örgütü'nün Güvenlik Laboratuvarı'na göre bu boşluk halihazırda etkin bir şekilde istismar ediliyor. Meta, WhatsApp uygulamasına bir güncelleme yayınladı. Tüm kullanıcılara bunu yüklemeleri şiddetle tavsiye edildi.
Daha sonra okuyun Reklamcılık
Daha sonra okuyun Reklamcılık
BT dünyasında, hatta milyarlarca kullanıcıya sahip büyük şirketlerde bile güvenlik açıklarının oluşabileceği gerçeği her zaman tamamen önlenememektedir. Ancak Meta'da sorunların ortaya çıkma sıklığı elbette bir soruyu gündeme getiriyor: Şirketin güvenliği yeterince kontrol altında değil mi? Ve: Mevcut davada neden bu kadar geç tepki verdi?
Haberler tarafından sorulduğunda Meta'nın kendisi buna cevap vermek istemiyor. Bir sözcü basitçe, mevcut WhatsApp davasında şirketin “sektörde lider kazıma önleme sistemleri”, yani toplu veri avcılığını önlemeyi amaçlayan önlemler üzerinde zaten çalıştığını açıklıyor. Viyanalı araştırmacıların saldırısı bir “stres testi” idi.
Grup ayrıca “hata ödül programının” başarısına da dikkat çekiyor. Bu, bir şirketi veya kurumu güvenlik açıklarına karşı uyarmaları durumunda bilgisayar korsanlarına ikramiye ödeyen kurumsal bir saldırı anlamına gelir. Meta programın 15 yıl önce başlamasından bu yana 25 milyon ABD doları tutarında yatırım yapıldı ve çok sayıda güvenlik açığı tespit edildi. Özellikle, Viyana Üniversitesi'ndeki mevcut davada olduğu gibi daha karmaşık bilimsel sunumlar, şirket için zorluklar yaratıyor gibi görünüyor; bu da uzun yanıt süresini açıklayabilir. Meta burada iyileştirmeler yapıldığını öne sürüyor.
Etik bilgisayar korsanlığı, BT adli tıp ve siber casusluk konularıyla ilgilenen BT güvenlik uzmanı Florian Dalwigk, Meta'da kesinlikle yapılacak bazı işler görüyor. Uzman, Haberler'ye şöyle açıklıyor: “Büyük platformlar, saldırganlar tarafından düzenli olarak hedef alınıyor. Yüksek güvenlik önlemlerine rağmen genel olarak sıfır gün saldırıları bile hiçbir zaman tamamen önlenemez.” Ancak Meta ile ilgili belirli sorunlar görüyor.
Daha sonra okuyun Reklamcılık
Daha sonra okuyun Reklamcılık
Dalwigk, hem WhatsApp hem de Facebook veri olaylarında rol oynayan telefon numarasına dayalı kişi aramasından bahsediyor. Dalwigk'e göre, yinelenen veri koruma şikayetleri ve son zamanlarda Attaullah Baig'in iç güvenlik süreçleriyle ilgili ihbarcı iddiaları da mevcut. Şirketin eski siber güvenlik yöneticisi, Meta'nın güvenlik açıklarını göz ardı etmesi ve dolayısıyla milyarlarca kullanıcıyı tehlikeye atması nedeniyle Eylül ayında Kaliforniya'da bir dava açtı.
Dalwigk şunları söylüyor: “Bence bu, Meta'nın geçmişte tasarım ilkeleriyle gizliliğin sıkı bir şekilde uygulanmasından ziyade işlevsel ve büyümeye yönelik yönlere daha fazla önem verdiğini gösterebilir.” BT ilkesi “Tasarımdan Dolayı Gizlilik”, veri korumasının geliştirmenin başlangıcından itibaren dikkate alınması anlamına gelir, daha sonra değil. “Bana göre olağandışı olan olay sayısının az olması [bei Meta] daha doğrusu onların karakterlerini.”
BT uzmanı kendi tecrübesine dayanarak konuşuyor: Geçmişte zaten şirkete bir sorun olduğunu belirtmişti. 2020 yılında Whatsapp'ın çevrimiçi durumunu etkileyen bir güvenlik ve veri koruma sorunuyla karşılaştı. Bu potansiyel olarak bireysel kişileri uygulamayı açtıklarına kadar takip etmeyi mümkün kıldı.
Şirketin yanıtı Dalwigk'i şaşırttı: “Meta, çevrimiçi durumun görüntülenmesinin amaçlanan bir işlevsellik olduğunu ve bu nedenle güvenlikle ilgili bir davranışın bulunmadığını belirtti. Ancak gizlilik seçeneklerinde böyle bir ayarın neden devre dışı bırakılamadığı bana hem teknik hem de organizasyonel olarak makul gelmedi.”
BT uzmanının diğer şirket ve kurumlarla tamamen farklı deneyimleri olmuştur. Diğer şeylerin yanı sıra Dalwigk, Federal Bilgi Güvenliği Ofisi ve Bundeswehr'e güvenlik açıklarını zaten bildirdi. “Her iki durumda da yanıt hızlı, şeffaf ve son derece profesyoneldi.” Hata ödül programları yürüten büyük şirketler de genellikle bu tür raporlara yüksek düzeyde ilgi gösterir ve hızlı bir şekilde yanıt verir.
Daha sonra okuyun Reklamcılık
Daha sonra okuyun Reklamcılık
Diğer haberciler daha güvenli
Uzman ayrıca, WhatsApp numaralarının dinlenmesiyle ilgili mevcut vakada da şirketin ihmalinin olduğunu düşünüyor. Onun bakış açısına göre, büyük miktarda verinin bu şekilde dışarı akmaması için kişi aramasını sınırlamak teknik olarak mümkündü.
Dalwigk aynı zamanda çok daha ileride olan alternatif habercilerden de söz ediyor. İsviçre'den Threema hizmetinden bahsediyor. Bu aynı zamanda benzersiz bir tanımlayıcı olarak telefon numaraları olmadan da çalışır ve bu nedenle bu tür güvenlik olaylarına karşı daha az duyarlıdır.
Meta, kendi kullanıcılarını yeterince korumadığı için defalarca eleştiriliyor. Geçen hafta Cuma günü ABD okul bölgeleri, şirketin hizmetlerinin çocukları ve gençleri tehlikeye atması nedeniyle dava açtı. Diğer şeylerin yanı sıra, şirketin grup için olumsuz sonuçlar üretmesinin ardından konuyla ilgili dahili bir çalışmayı iptal ettiği ve gizlediği söyleniyor.
Bir yanıt yazın