WhatsApp-ın Nəhəng Təhlükəsizlik Boşluğu: 3.5 Milyard İstifadəçinin Telefon Nömrələri Necə Ələ Keçirilib?

WhatsApp-ın bu qədər böyük istifadəçi bazası qazanmasının əsas səbəblərindən biri, insanları tapmaq üçün sadəcə telefon nömrəsinin kifayət etməsi idi. Təəssüf ki, bu sadəlik böyük bir təhlükəsizlik zəifliyi də gətirdi. Avstriyalı tədqiqatçıların üzə çıxardığı şok edici hadisə, tətbiqin nə dərəcədə həssas olduğunu göstərdi: çox yaxın vaxtlara qədər, bütün WhatsApp istifadəçilərinin telefon nömrələri zərərli hakerlər daxil olmaqla, istənilən şəxs tərəfindən asanlıqla əldə edilə bilirdi. Tədqiqatçılar 3.5 milyard WhatsApp istifadəçisinin hamısının nömrələrini ələ keçirməyi bacarmışdılar. Bu kütləvi məlumat sızması üçün heç bir mürəkkəb “hakerlik” üsulu tələb olunmaması vəziyyəti daha da kəskinləşdirir.

Tədqiqatçılar izah etdilər ki, bu məlumatları əldə etmək üçün istifadə etdikləri metod əslində hər hansı başqa bir istifadəçinin istifadə edə biləcəyi ilə eyni idi. Üsul çox sadə idi: Siz bir telefon nömrəsini kontaktlarınıza əlavə edib WhatsApp-da saxladığınız zaman, tətbiq həmin nömrənin bir hesab üçün istifadə edilib-edilmədiyini göstərirdi. Əgər həmin hesab açıqdirsə, profil şəkli və mətni də görünürdü. Tədqiqatçılar bu prosesi kütləvi miqyasda həyata keçirmək üçün WhatsApp-ın brauzer əsaslı interfeysindən, yəni WhatsApp Web-dən istifadə ediblər. İlkin hesabatlara görə, onlar bu metodla saatda təxminən 100 milyon telefon nömrəsini yoxlaya bilirdilər. Bu sızma nəticəsində istifadəçilərin təxminən 57%-nin profil şəkilləri və 29%-nin profil mətnləri də əldə edilib.

Məlum oldu ki, WhatsApp-ın ana şirkəti olan Meta, bu problemlə bağlı hələ 2017-ci ildə başqa bir tədqiqatçı tərəfindən xəbərdar edilmişdi. Lakin şirkət bu xəbərdarlığa baxmayaraq, uzun illər ərzində heç bir əməli addım atmamışdı. Xoşbəxtlikdən, Avstriyalı tədqiqatçılar aprel ayında Meta-nı yenidən məlumatlandırdılar və şirkət nəhayət oktyabr ayında kütləvi kontakt aşkarlanmasının qarşısını almaq üçün sürət məhdudiyyəti tətbiq etdi. Lakin bu tədbirin zərərli şəxslər tərəfindən illərlə istismar edildikdən sonra görülməsi ciddi narahatlıqlara yol açdı.

Meta isə bu ifşaata qarşı özünü müdafiə etdi. Şirkət, sızdırılan bütün məlumatların "əsasən ictimai məlumat" olduğunu vurğuladı. Onlar, profil şəkillərini və mətnlərini gizli saxlamağı seçən istifadəçilərin məlumatlarının açığa çıxmadığını bildirdilər. Meta həmçinin zərərli şəxslərin bu boşluqdan istifadə etməsinə dair "heç bir dəlil tapmadıqlarını" və tədqiqatçıların "qeyri-ictimai məlumatlara daxil olmadığını" bəyan etdi.