3.5 milyar WhatsApp mobil telefon numarası ve bunlarla ilgili kişisel bilgilerin, yetersiz bir API üzerinden gerçekleştirilen bir saldırı sonucunda elde edilmesi, dijital güvenlik açısından alarm verici bir durum. Araştırma ekibi, iletişim keşif API’sini kötüye kullanarak bu kadar büyük bir veri tabanı oluşturmayı başardı. WhatsApp, durumu öğrendikten sonra, benzer kötüye kullanımları önlemek için hızlı bir şekilde güvenlik önlemleri ekledi.
WhatsApp API’nin Kötüye Kullanımı
Viyana Üniversitesi ve SBA Araştırma’dan gelen araştırmacılar, WhatsApp’ın iletişim keşif özelliklerini kullandı. Bu özellik, bir telefon numarasını platformun GetDeviceList API uç noktasına göndererek, numaranın bir hesapla ilişkilendirilip ilişkilendirilmediğini ve hangi cihazların kullanıldığını belirlemeye yarıyor. Ancak, bu API üzerinde yeterli bir oran sınırlaması olmaması, büyük ölçekli istismarları mümkün kılıyor.
WhatsApp üzerinde yaptıkları denemelerde araştırmacılar, saatte 100 milyonun üzerinde numara kontrolü yaparak doğrudan sunucularına yüksek hacimli sorgular göndermeyi başardı. Tüm bu işlemi tek bir üniversite sunucusundan gerçekleştirdiler, sadece beş oturumla hareket ettiler. WhatsApp’ın onları tespit etmesini beklerken, platform asla hesaplarını engellemedi, trafiğini sınırlamadı ve olaydan haberdar olmadığı anlaşıldı.
Küresel Kullanım Verileri
Bu süreçte araştırmacılar, dünya genelinde 63 milyar etkin mobil numarayı test etti ve sonucu 3.5 milyar aktif WhatsApp hesabı olarak elde etti. Bu aynı zamanda WhatsApp’ın nerelerde daha çok kullanıldığını gösteren bir veri tabanı oluşturdu. Öne çıkan ülkeler aşağıdaki gibidir:
- Hindistan: 749 milyon
- Endonezya: 235 milyon
- Brezilya: 206 milyon
- Amerika Birleşik Devletleri: 138 milyon
- Rusya: 133 milyon
- Meksika: 128 milyon
Bu aynı zamanda WhatsApp’ın yasaklandığı ülkelerde de durumun farklı olmadığını ortaya koydu. Özellikle Çin, İran, Kuzey Kore ve Myanmar gibi ülkelerde bile aktif hesaplar tespit edildi. İran’da yasak kaldırıldıktan sonra kullanım oranı artmaya devam etti.
API Kullanımında Güvenlik Açıkları
Araştırmacılar, yalnızca bir telefon numarasının WhatsApp ile ilişkilendirilip ilişkilendirilmediğini belirlemekle kalmayıp, kullanıcılar hakkında daha fazla bilgi toplamayı da başardılar. API’nin diğer uç noktaları aracılığıyla profil fotoğrafları, “hakkında” metinleri gibi bilgileri elde ettiler. Örneğin, ABD numaraları üzerinde yapılan bir testte, 77 milyon profil fotoğrafı indirildi. Bu fotoğrafların bazıları tanınabilir yüzler içeriyordu.
Yüksek verimlilikle yapılan bu çalışmalar, büyük ölçekli telefon numarası sızıntılarının ne kadar tehdit edici olabileceğini ortaya koyuyor. Araştırmacılar, 2021 yılında yaşanan Facebook telefon numarası sızması ile karşılaştırıldığında, bu verilerin %58’inin hâlâ aktif olduğunu tespit etti. Bu durum, büyük ölçekli sızıntıların uzun süreli etkilerini gözler önüne seriyor.
Diğer Kötüye Kullanım Örnekleri
WhatsApp’ın API’sindeki yetersiz oran sınırlaması, çevrimiçi platformlar arasında yaygın bir sorunu temsil ediyor. Bu tür API’ler, bilgilere ulaşmayı kolaylaştırmak için tasarlanmıştır, ancak aynı zamanda büyük ölçekli veri toplama için de kullanılabiliyor. Örneğin, 2021 yılında Facebook’un “Arkadaş Ekle” özelliğindeki bir hata, tehdit aktörlerinin milyonlarca kullanıcı hakkında veri toplamasına olanak sağladı.
Benzer şekilde, Twitter ve Dell gibi diğer büyük platformlar da API açığı nedeniyle siber saldırılara maruz kaldı. Bu durum, güvenlik açıkları ve veri koruması açısından O sıralamanın ne kadar kritik olduğunu bir kez daha gözler önüne seriyor.
Sonuç olarak, WhatsApp API’sinin kötüye kullanımı, yalnızca bu platform için değil, tüm dijital hizmetler için bir uyarı niteliği taşıyor. Daha fazla güvenlik önlemi almadıkça, veri sızıntıları ve kötüye kullanımlar devam edecektir.
