WhatsApp 3,5 milyar telefon numarasını sızdırdı mı? WhatsApp kişisel verileri sızdırdı mı?
WhatsApp'ın son zamanlardaki en büyük veri sızıntısında, 3,5 milyar kullanıcının telefon numarası risk altında. Bu durum, kullanıcıların kişisel bilgilerinin korunmasına yönelik endişeleri artırıyor. Peki, WhatsApp 3,5 milyar telefon numarasını sızdırdı mı? WhatsApp kişisel verileri sızdırdı mı? Akademisyenler tarafından erişilen gizlilik açığı haberimizde!
WhatsApp, yıllardır global ölçekte milyarlarca kullanıcıyla hizmet veren ve Meta çatısı altındaki en yaygın mesajlaşma uygulaması olarak biliniyor. Güvenlik, bu kadar büyük bir kullanıcı tabanı için her zaman öncelikli olmuştur. Ancak son araştırmalar, platformda "telefon numarası bilgisi" açısından oldukça ciddi bir risk olduğunu ortaya koyuyor. Bazı güvenlik uzmanları, WhatsApp'ta yaklaşık 3,5 milyar kullanıcının telefon numarasının ve profil bilgilerini potansiyel olarak dışarıya açan bir zayıflığın varlığını iddia ediyor. Peki, WhatsApp 3,5 milyar telefon numarasını sızdırdı mı? WhatsApp kişisel verileri sızdırdı mı? Bu iddialar ne kadar gerçekçi? Meta durumu nasıl açıklıyor? Detaylar...
WHATSAPP 3,5 MİLYAR TELEFON NUMARASINI SIZDIRDI MI?
Siber güvenlik alanında önde gelen SBA Research ile Viyana Üniversitesi Bilgisayar Bilimleri Fakültesi bünyesinde çalışan araştırmacılar, WhatsApp'ın "contact discovery" (kişilerin bulunması) mekanizmasına ilişkin kritik bir güvenlik açığını ortaya koydu.
"Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy" başlıklı ve NDSS Symposium 2026 için sunulan çalışmada, telefon numarası doğrulamasına dayalı sistemin suistimal edilebileceği; saniyede milyonlarca numara sorgulamasıyla yaklaşık üç milyar hesaba ilişkin eşleştirme yapılabileceği gösteriliyor.
Çalışmanın ön baskı sürümü, araştırmacılar tarafından GitHub üzerinde erişime açılmış durumda.
META'NIN TEPKİSİ
Araştırmacılar, bulgularını Meta'ya bildirdikten sonra derledikleri verileri güvenli şekilde sildi. Meta, sorunun çözümü için sorgu hızını sınırlayan "rate limiting" önlemleri ekledi.
Şirket, mesaj içeriklerinin uçtan uca şifrelenmiş olduğunu ve bu açığın sadece kamuya açık profil bilgileri ile sınırlı kaldığını vurguladı. Meta'ya göre, şimdiye kadar bu yöntemin kötü niyetli kişiler tarafından geniş çapta kullanılmasına dair somut bir kanıt bulunmuyor.
WHATSAPP GÜVENLİK AÇIĞI NASIL OLUŞTU?
CONTACT DISCOVERY & METADATA MEKANİZMASI
WhatsApp'ta rehberinizdeki telefon numaralarını senkronize ederseniz, uygulama sizin için bu numaraların WhatsApp'ta kayıtlı olup olmadığını kontrol ediyor. Araştırmacılar, bu işlevi sistematik ve otomatik şekilde tekrarlayarak dünya çapındaki numaraları taradı.
Sorgular, normal kullanıcı davranışından çok daha agresif gerçekleşti; sorgu sınırları zayıf veya yetersizdi.
Araştırmacılar, sadece telefon numarasını doğrulamakla kalmayıp, profil fotoğrafı ve "hakkında" metni gibi ek bilgiler de aldı.
GEÇMİŞ UYARILAR
Benzer bir sorunun daha önce de Meta'ya iletildiği ve ilk uyarının 2017 yılında yapıldığı bildirildi.
Uzun süre somut bir çözüm uygulanmadı, ancak 2025'te yapılan çalışma sonrasında Meta sorgu sınırlarında iyileştirmeler gerçekleştirdi.
KİŞİSEL VERİ GİZLİLİĞİ
Telefon numarası, profil fotoğrafı ve "hakkında" metni gibi bilgiler, saldırganlar tarafından spam, kimlik avı ya da sosyal mühendislik için kullanılabilir.
Bazı "hakkında" metinlerinde kullanıcıların hassas bilgilerinin bulunması, profil çıkarımı riskini artırıyor.
Açığın özellikle WhatsApp'ın yasaklandığı veya kısıtlandığı ülkelerde, muhalif gruplar veya aktivistler için ciddi tehdit oluşturabileceği vurgulanıyor.
Telefon numaraları ve açık profil verileri, otoriter baskı mekanizmalarının elinde ek bir araç haline gelebilir.
KRİPTOGRAFİK GÜVENLİK AÇILARI
Araştırmacılar, bazı şifreleme anahtarlarının yeniden kullanıldığını ve bunun güvenliği zayıflatabileceğini belirtti.
Bu durum, kötü niyetli üçüncü taraf istemciler veya klon istemciler tarafından istismar edildiğinde mesaj gizliliği açısından potansiyel riskler doğurabilir.
META GÜVENLİK İÇİN NE YAPIYOR?
Meta, sorunu ciddiye aldığını ve "rate limiting" önlemlerini uygulamaya koyduğunu belirtti.
Şirket, güvenlik çalışmasını araştırmacılara teşekkür ederek bug bounty programı çerçevesinde değerlendirdi.
Mesaj içeriklerinin güvende olduğu, çünkü uçtan uca şifreleme sisteminin etkilenmediği ifade edildi.
Ancak bazı uzmanlar, temel sorunun telefon numarasının kullanıcı kimlik doğrulamada tek belirleyici olması olduğunu ve alternatif sistemlerin değerlendirilmesi gerektiğini vurguluyor.
KAYNAK
Gegenhuber, G. K., Frenzel, P. E., Günther, M., Ullrich, J., & Judmayer, A. (2025). Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy [Preprint submitted to NDSS Symposium 2026]. University of Vienna & SBA Research. GitHub repository available:
https://github.com/sbaresearch/whatsapp-census
