WhatsApp, kullanıcı gizliliğini güçlendirmeyi ve yaygın veri kazımayla mücadele etmeyi amaçlayan stratejik bir değişiklikle, telefon numaralarından uzaklaşarak birincil tanımlayıcı olarak kullanıcı adlarını tanıtmaya hazırlanıyor. Bu değişiklik, araştırmacıların milyarlarca kullanıcının telefon numarasını ve ilgili profil verilerini çıkarmasına olanak tanıyan önemli bir güvenlik açığına yanıt olarak geliyor.
WhatsApp'ın Kullanıcı Adlarına Geçişi: Veri Kazımaya Bir Yanıt
WhatsApp'ın kullanıcı adlarını etkinleştirme planlarına dair daha önceki raporlar ipuçları vermişti, ancak temel güvenlik zorunluluğu şimdi gün yüzüne çıktı. Avusturyalı güvenlik araştırmacıları, neredeyse tüm olası telefon numarası kombinasyonlarının otomatik olarak listelenmesine izin veren bir güvenlik açığı keşfetti ve bu sayede çok sayıda WhatsApp kullanıcısının adları ve profil resimleri dahil olmak üzere iletişim bilgilerini ortaya çıkardı.
Araştırmacılar, Meta'nın (WhatsApp'ın ana şirketi) yıllarca ele almadığı iddia edilen bu kusurun önemli bir güvenlik riski oluşturduğunu belirtiyor. Wired tarafından detaylandırıldığı üzere, ekip bu yöntemi platformdan şaşırtıcı bir şekilde 3,5 milyar kullanıcının telefon numarasını çıkarmak için başarıyla kullandı.
“Bu kullanıcıların yaklaşık %57'si için profil fotoğraflarına, %29'u için ise profillerindeki metinlere erişebildiklerini de buldular. 2017'de farklı bir araştırmacıdan WhatsApp'ın bu verileri ifşa etmesiyle ilgili daha önceki bir uyarıya rağmen, hizmetin ana şirketi Meta'nın, araştırmacıların WhatsApp'ın tarayıcı tabanlı uygulamasıyla etkileşime girerek yapabileceği kişi keşif isteklerinin hızını veya sayısını sınırlayamadığını ve saatte yaklaşık yüz milyon numarayı kontrol etmelerine izin verdiğini belirtiyorlar.”
Bu güvenlik açığı, teorik olarak kötü niyetli kişilerin, hedeflenmiş dolandırıcılık faaliyetleri de dahil olmak üzere çeşitli yasa dışı amaçlar için kullanılabilecek kapsamlı ad ve telefon numarası veritabanları oluşturmasına olanak tanıyabilir.
Meta'nın Azaltma Çabaları ve Gelecek Yönü
Bulgularını Meta ile paylaştıktan sonra şirket, araştırmacılar tarafından tespit edilen toplu kazıma vektörünü önlemek için derhal yeni hız limitleri uyguladı. Ancak, bu limitler yürürlükte olsa bile, telefon numaralarına birincil tanımlayıcı olarak doğal bağımlılık bir güvenlik endişesi olmaya devam etti. Bu devam eden risk, Meta'nın kullanıcı adlarına yönelmesinin ana itici gücü olabilir ve veri ifşasını doğal olarak sınırlayan bir alternatif sunar.
Bu veri ifşasının kapsamını açıklığa kavuşturmak önemlidir. Kazıma yoluyla erişilebilen bilgiler temel profil verileriyle sınırlıdır ve kullanıcılar profillerini özel yaparak kendilerini bu tür güvenlik açıklarından koruma yeteneğini sürdürmektedir. Meta ayrıca, kötü niyetli kişilerin bu öğeyi aktif olarak istismar ettiğine dair herhangi bir kanıt bulmadığını belirtmiştir. Dahası, kullanıcı mesajları WhatsApp'ın varsayılan uçtan uca şifrelemesiyle güvende ve korunmaya devam etmekte, konuşma gizliliğinin sürdürülmesi sağlanmaktadır.
Felaket niteliğinde bir veri ihlali olmasa da, dolandırıcılık faaliyetleri için veritabanları oluşturma potansiyeli proaktif bir yanıtı gerektirdi. Sonuç olarak, WhatsApp'ın kullanıcı adlarını kullanıma sunma sürecini hızlandırması bekleniyor; sadece bu gizlilik endişelerini gidermekle kalmayıp, aynı zamanda telefon numarası eşleştirmesinin herhangi bir kötüye kullanımına karşı kullanıcılarını sürekli olarak izlemek ve korumak için. Bu hamle, Meta'nın sağlam alternatif seçenekler sunmak ve veri ifşa risklerinden kaynaklanabilecek potansiyel zararı azaltmak için attığı mantıklı bir adımı temsil ediyor.
