WhatsApp 3,5 milyar telefon numarasını sızdırdı mı? WhatsApp kişisel verileri sızdırdı mı?
WhatsApp, yıllardır global ölçekte milyarlarca kullanıcıyla hizmet veren ve Meta çatısı altındaki en yaygın mesajlaşma uygulaması olarak biliniyor. Güvenlik, bu kadar büyük bir kullanıcı tabanı için her zaman öncelikli olmuştur. Ancak son araştırmalar, platformda “telefon numarası bilgisi” açısından oldukça ciddi bir risk olduğunu ortaya koyuyor. Bazı güvenlik uzmanları, WhatsApp’ta yaklaşık 3,5 milyar kullanıcının telefon numarasının ve profil bilgilerini potansiyel olarak dışarıya açan bir zayıflığın varlığını iddia ediyor. Peki, WhatsApp 3,5 milyar telefon numarasını sızdırdı mı? WhatsApp kişisel verileri sızdırdı mı? Bu iddialar ne kadar gerçekçi? Meta durumu nasıl açıklıyor? Detaylar…
WHATSAPP 3,5 MİLYAR TELEFON NUMARASINI SIZDIRDI MI?
Güvenlik araştırmacıları, WhatsApp’ın “contact discovery” (rehberden kişi bulma) mekanizmasında kritik bir açık keşfetti.
Bu açık sayesinde, araştırmacılar saniyede binlerce telefon numarasını sorgulayabiliyor ve saatte yüz milyon civarında numarayı test edebiliyordu. Yaklaşık 3,5 milyar WhatsApp hesabı doğrulanabildi; yani bu kadar sayıda telefon numarası WhatsApp’ta kayıtlı olarak belirlendi. Araştırmacılar, telefon numaralarının yanı sıra bazı kullanıcıların profil fotoğrafı ve “hakkında” bilgilerine de erişebildi.
META’NIN TEPKİSİ
Araştırmacılar, bulgularını Meta’ya bildirdikten sonra derledikleri verileri güvenli şekilde sildi. Meta, sorunun çözümü için sorgu hızını sınırlayan “rate limiting” önlemleri ekledi.
Şirket, mesaj içeriklerinin uçtan uca şifrelenmiş olduğunu ve bu açığın sadece kamuya açık profil bilgileri ile sınırlı kaldığını vurguladı. Meta’ya göre, şimdiye kadar bu yöntemin kötü niyetli kişiler tarafından geniş çapta kullanılmasına dair somut bir kanıt bulunmuyor.
WHATSAPP GÜVENLİK AÇIĞI NASIL OLUŞTU?
CONTACT DISCOVERY & METADATA MEKANİZMASI
WhatsApp’ta rehberinizdeki telefon numaralarını senkronize ederseniz, uygulama sizin için bu numaraların WhatsApp’ta kayıtlı olup olmadığını kontrol ediyor. Araştırmacılar, bu işlevi sistematik ve otomatik şekilde tekrarlayarak dünya çapındaki numaraları taradı.
Sorgular, normal kullanıcı davranışından çok daha agresif gerçekleşti; sorgu sınırları zayıf veya yetersizdi.
Araştırmacılar, sadece telefon numarasını doğrulamakla kalmayıp, profil fotoğrafı ve “hakkında” metni gibi ek bilgiler de aldı.
GEÇMİŞ UYARILAR
Benzer bir sorunun daha önce de Meta’ya iletildiği ve ilk uyarının 2017 yılında yapıldığı bildirildi.
Uzun süre somut bir çözüm uygulanmadı, ancak 2025’te yapılan çalışma sonrasında Meta sorgu sınırlarında iyileştirmeler gerçekleştirdi.
KİŞİSEL VERİ GİZLİLİĞİ
Telefon numarası, profil fotoğrafı ve “hakkında” metni gibi bilgiler, saldırganlar tarafından spam, kimlik avı ya da sosyal mühendislik için kullanılabilir.
Bazı “hakkında” metinlerinde kullanıcıların hassas bilgilerinin bulunması, profil çıkarımı riskini artırıyor.
Açığın özellikle WhatsApp’ın yasaklandığı veya kısıtlandığı ülkelerde, muhalif gruplar veya aktivistler için ciddi tehdit oluşturabileceği vurgulanıyor.
Telefon numaraları ve açık profil verileri, otoriter baskı mekanizmalarının elinde ek bir araç haline gelebilir.
KRİPTOGRAFİK GÜVENLİK AÇILARI
Araştırmacılar, bazı şifreleme anahtarlarının yeniden kullanıldığını ve bunun güvenliği zayıflatabileceğini belirtti.
Bu durum, kötü niyetli üçüncü taraf istemciler veya klon istemciler tarafından istismar edildiğinde mesaj gizliliği açısından potansiyel riskler doğurabilir.
META GÜVENLİK İÇİN NE YAPIYOR?
Meta, sorunu ciddiye aldığını ve “rate limiting” önlemlerini uygulamaya koyduğunu belirtti.
Şirket, güvenlik çalışmasını araştırmacılara teşekkür ederek bug bounty programı çerçevesinde değerlendirdi.
Mesaj içeriklerinin güvende olduğu, çünkü uçtan uca şifreleme sisteminin etkilenmediği ifade edildi.
Ancak bazı uzmanlar, temel sorunun telefon numarasının kullanıcı kimlik doğrulamada tek belirleyici olması olduğunu ve alternatif sistemlerin değerlendirilmesi gerektiğini vurguluyor.
