WhatsApp’ta hız sınırı olmayan API açığı araştırmacıların 3,5 milyar hesabı doğrulamasına imkân tanıdı
Viyana Üniversitesi ve SBA Research araştırmacıları, WhatsApp’ın kişi keşfi için kullandığı API uç noktasında hız sınırı uygulanmamasını kötüye kullanarak 3,5 milyar aktif hesabı tespit ettiklerini açıkladı. Araştırmacılar, sadece beş oturumla tek bir sunucu üzerinden dünya genelinde 63 milyar mobil numarayı sorguladıklarını, WhatsApp’ın ise bu yoğun trafiği hiçbir aşamada engellemediğini bildirdi. Şirket açığın bildirilmesinin ardından hız sınırlaması eklerken, çalışma büyük ölçekli veri kazımaya karşı API güvenliğinin önemini yeniden gündeme taşıdı.
WhatsApp’ın kişi keşfi için kullanılan GetDeviceList API uç noktasında hız sınırı bulunmadığını tespit eden araştırmacılar, bu sayede mobil numaraların platformda kayıtlı olup olmadığını büyük ölçekli biçimde sorgulayabildiklerini açıkladı. Araştırma kapsamında 3,5 milyar aktif hesabın doğrulandığı bildirildi.
“Tek Bir Sunucudan Saatte 100 Milyon Numara Sorguladık”
Viyana Üniversitesi ve SBA Research ekibi, çalışmayı tek bir üniversite sunucusundan yürüttü. Araştırmacılar, “Sadece beş oturumla saat başına 100 milyondan fazla numarayı kontrol edebildik. WhatsApp hiçbir aşamada hesapları engellemedi, trafiği kısıtlamadı, IP adresimizi bloke etmedi.” açıklamasında bulundu.
Araştırmacılar, toplamda 63 milyar potansiyel mobil numara üreterek bunların tamamını API üzerinden test etti ve yanıt olarak 3,5 milyar aktif hesabın kayda geçtiğini belirtti.
Küresel Kullanım Haritası Ortaya Çıktı
Elde edilen sonuçlar, WhatsApp’ın dünya genelindeki kullanım yoğunluğunu da gösterdi. Verilere göre Hindistan 749 milyon, Endonezya 235 milyon, Brezilya 206 milyon, ABD 138 milyon, Rusya 133 milyon ve Meksika 128 milyon aktif hesapla ilk sıralarda yer aldı.
Araştırma, Çin, İran, Kuzey Kore ve Myanmar gibi yasaklı ülkelerde de milyonlarca aktif hesabın bulunduğunu ortaya koydu. İran’da kullanımın 2024 sonunda yasağın kaldırılmasının ardından arttığı tespit edildi.
Profil Fotoğrafları ve “Hakkında” Bilgileri de Toplandı
Araştırmacılar, GetUserInfo, GetPrekeys ve FetchPicture gibi diğer API uç noktalarını kullanarak kullanıcıların profil fotoğrafları, “hakkında” yazıları ve cihaz bilgilerine erişilebildiğini belirtti. ABD numaralarına yönelik bir testte 77 milyon profil fotoğrafının hız limiti olmadan indirilebildiği aktarıldı.
Paylaşılan örneklerde, profil fotoğraflarının tanınabilir yüzler içerdiği, “hakkında” metinlerinin ise kişisel bilgiler ve diğer sosyal medya bağlantılarına işaret ettiği belirtildi.
“Tarihin En Büyük Veri Setlerinden Biri Olabilirdi”
Araştırma ekibi, yayımladıkları makalede, “3,5 milyarlık kayıt, eğer sorumlu bir şekilde toplanmamış olsaydı tarihteki en büyük veri sızıntılarından biri olurdu.” ifadelerini kullandı. Veri setinin telefon numaraları, zaman damgaları, fotoğraflar ve uçtan uca şifreleme anahtarlarını içerdiği, kötü niyetli bir yayınlanmanın ağır sonuçlara yol açacağı vurgulandı.
API Güvenliğinde Yapısal Sorun
WhatsApp’ın hız sınırı eksikliğinin, büyük platformlarda sıkça karşılaşılan bir güvenlik zafiyetini yansıttığı ifade edildi. Facebook’un 2021’de 533 milyon kullanıcının bilgilerinin kazınmasına yol açan API açığı, Twitter’ın 54 milyon hesabın telefon ve e-posta eşleşmesinin yapılmasına neden olan sorun ve Dell’in 49 milyon müşteri kaydının çekildiği olay benzer örnekler arasında gösterildi.
Araştırmacılar, WhatsApp’ın bildirim sonrası hız sınırı eklediğini, ancak büyük ölçekli doğrulamanın platformların veri koruma mimarisini yeniden gözden geçirmesi gerektiğini ortaya koyduğunu ifade etti.
Ajans Expres Gazetesi
Tepkiniz Nedir?
