Veri Gizliliği, Veri Güvenliği
Araştırmacılar 3,5 Milyar Hesabı Sorgulayabildi
Greg Sirico •
21 Kasım 2025
Güvenlik araştırmacıları, uygulama sahibi Meta tarafından sağlanan bir numaralandırma aracı aracılığıyla milyarlarca WhatsApp kullanıcısının telefon numaralarını toplamayı başardı.
Ayrıca bakınız: İsteğe Bağlı | Eşsiz Keşif ve Savunma ile API Güvenliğini Dönüştürün
Viyana Üniversitesi’ndeki hiçbir veri araştırmacısı, bir WhatsApp API’sine tersine mühendislik uygulayarak kaydırdı ve üçüncü taraflardan gelen mesaj metnini koruyan şifrelemeyi kırmadı. WhatsApp hesaplarını kaydetmek için kullanılan telefon numaralarını ve çoğu durumda profil resmi, kullanıcı tarafından girilen “hakkında” metni ve WhatsApp’ın iletişimleri asimetrik olarak şifrelemek için kullandığı genel anahtarlar gibi ek verileri elde ettiler.
Ancak araştırmacılar bir makalede “çoğu veri noktası özellikle tek başınayken zararsız görünse de, bunların büyük ölçekli bir araya getirilmesi anlamlı ve potansiyel olarak aydınlatıcı bilgiler sağlayabilir” diye yazdı. Araştırmacılar, sorumlu akademisyenler olmasaydı, sızdırılan rakamların (toplamda 3,5 milyar) “tarihteki en büyük veri sızıntısı” anlamına geleceğini de söylediler.
Gizlilik ve güvenlik uzmanları, otoriter ülkelerin ve diğer meraklıların insan ağlarının haritasını çıkarmak için iletişim içeriğine ihtiyaç duymadıkları konusunda uzun süredir uyarıda bulunuyor. Hangi WhatsApp hesaplarının diğer hesaplarla iletişim halinde olması sosyal bir grafik oluşturmak için yeterlidir. WhatsApp’taki “hakkında” etiket satırını özelleştiren kullanıcılar, siyasi bağlantılar, cinsel yönelim, LinkedIn profilleri ve e-postalar gibi bilgileri açığa çıkararak kişisel bilgilerinin toplanmasına da yardımcı olabilir. Bir WhatsApp kullanıcısı, hakkında alanına çok sayıda uyuşturucu taşıyabilen “gizli taksi” hizmetinin reklamını girdi.
Çin hükümeti veya WhatsApp’ı yasaklayan veya kısıtlayan diğer rejimler için çalışan kötü bir aktör, verileri otoritelere karşı gelen yerel kullanıcıların gerçek dünyadaki kimliklerini ortaya çıkarmak için kullanabilir.
Araştırmacılar verileri, saniyede 7.000 telefon numarası hızında bir WhatsApp API’sine erişerek elde etti. Akademisyenler, API sorgu hızının hız sınırlama işlevi tarafından hızla engelleneceğini ve Meta’nın IP adreslerini kalıcı olarak kara listeye alacağını varsaydı. “Sürpriz olarak ne IP adresimiz ne de hesaplarımız WhatsApp tarafından engellendi” diye yazdılar.
Makalenin başyazarı Gabriel Gegenhuber, “Normalde, bir sistemin bu kadar yüksek sayıdaki talebe bu kadar kısa sürede yanıt vermemesi gerekir, özellikle de tek bir kaynaktan geliyorsa. Bu davranış, sunucuya etkili bir şekilde sınırsız istek göndermemize ve bunu yaparken kullanıcı verilerini dünya çapında haritalandırmamıza olanak tanıyan temel kusuru açığa çıkardı” dedi.
Akademisyenler Google’ın açık kaynağını kullandı libphonenumber API’ye telefon numaraları girişi oluşturmak için kitaplık. Ayrıca, 533 milyon sosyal medya kullanıcısının telefon numaraları, konumları ve e-posta adresleri gibi verilerin ele geçirildiği bir olayda, 2021 yılında Facebook’tan alınan telefon numaralarını da girdiler. Sızan telefon numaralarının neredeyse yarısı hala aktif ve bu da “veri olaylarının uzun vadeli sonuçlarını” vurguluyor.
WhatsApp’ın mühendislikten sorumlu başkan yardımcısı Nitin Gupta, araştırmacıları çalışmalarından ötürü övdü ve bunun gibi işbirliklerinin “amaçlanan sınırları aşan” yeni kusurlara ışık tuttuğunu belirtti.
Makalede, WhatsApp’ın bu ayın başlarında kendilerine numaralandırma sorgu hızı sınırlaması ve bir kullanıcının genel profil resmini ve bireysel kullanıcıların “hakkında” etiket satırlarını ne sıklıkla sorgulayabileceğine ilişkin kısıtlamalar dahil olmak üzere yeni karşı önlemler geliştirdiği konusunda kendilerini bilgilendirdiği belirtiliyor.