WhatsApp web’deki açık, 3,5 milyar kullanıcının telefon numaralarını ve herkese açık profil bilgilerini taramayı mümkün kıldı. Detaylar ve geç önlem tartışması.
© E. Vartanyan
Avusturyalı araştırmacılar, WhatsApp’ta ciddi bir sorun ortaya çıkardıklarını söylüyor: hizmet, pratikte 3,5 milyarlık kullanıcı tabanının tamamının telefon numaralarını toplamak için herkese kapı aralıyordu. Üstelik içeri sızmak gerekmiyordu — web sürümü üzerinden yapılabilen basit, mekanik numara yoklamaları yeterliydi.
WhatsApp, bir kişiyi bulmanın bir telefon numarası girmekten ibaret olduğu bir mantıkla çalışıyor. Sistem, kişinin kayıtlı olup olmadığını anında gösteriyor ve herkese açık profil ayrıntılarını da sunuyor. Basitlik kullanıcı deneyimi için anlamlı; ancak ölçek büyüyünce aynı esneklik, toplu taramaya elverişli bir araca dönüşebiliyor. Araştırmacılar bu günlük sorguyu büyütüp otomatikleştirerek saatte milyonlarca numarayı test edecek bir düzeneğe dönüştürdü.
Deneylerinde, tüm kullanıcıların numaralarını toplayabildiler; ayrıca hesapların yaklaşık yüzde 57’sinin profil fotoğraflarına ve kullanıcıların yaklaşık yüzde 29’unun metin durum iletilerine eriştiler — yani insanların herkese açık bıraktığı ne varsa.
Sorun yıllarca sürüncemede kaldı: benzer bir güvenlik açığına ilişkin uyarılar geliştiricilere 2017’de ulaşmıştı, ancak istek hız sınırlaması yalnızca Ekim 2025’te devreye alındı — bu da kullanıcıların potansiyel olarak açıkta kaldığı uzun bir zaman dilimi demek. Bu ölçekte bir platform için çözümün bu kadar geç gelmesi göze batıyor.
Geliştiriciler, söz konusu verilerin, kullanıcıların ne kadarını herkese açmayı tercih ettiğine bağlı olarak görülebilen temel kamusal bilgilerle sınırlı olduğunu savundu. Ayrıca bu zayıflığın kasıtlı olarak kötüye kullanıldığına dair bir kanıt bulmadıklarını ve araştırmacıların herhangi bir özel veriye erişmediğini dile getirdi.