Viyana Üniversitesi ve SBA Research’ten BT güvenliği uzmanları, WhatsApp’ın kişi bulma sisteminde dünya genelinde 3,5 milyar hesabın tespit edilmesine imkân tanıyan kritik bir güvenlik açığı keşfetti. Araştırmacılar, bulgularını Meta’ya sorumlu şekilde iletirken, WhatsApp ekibi de hatayı gidermek için hız sınırlaması ve görünürlük kısıtlamaları gibi ek önlemler aldı.
Araştırmanın ön baskısı yayımlandı; çalışma 2026’da Ağ ve Dağıtık Sistem Güvenliği (NDSS) Sempozyumu’nda sunulacak.
Sistemdeki Açık Nasıl Çalışıyordu?
WhatsApp’ın kişi bulma mekanizması, telefon rehberindeki numaralarla platformdaki kullanıcıları eşleştiriyor. Ancak araştırmacılar aynı sistemin, uygun tekniklerle her saat 100 milyonun üzerinde telefon numarasını sorgulayabildiğini tespit etti. Böylece 245 ülkede aktif olan milyarlarca hesabın doğrulanması mümkün hale geldi.
Baş araştırmacı Gabriel Gegenhuber, “Normal şartlarda hiçbir sistem bu kadar kısa sürede tek bir kaynaktan gelen milyonlarca isteğe yanıt vermemeli. Bu durum, altyapıdaki ciddi tasarım kusurunu ortaya çıkardı.” dedi.
Hangi Bilgilere Ulaşılabildi?
Araştırmacılar yalnızca herkese açık olan temel verileri kullandı:
-
Telefon numarası
-
Genel anahtarlar
-
Zaman damgaları
-
Profil fotoğrafı ve “hakkında” yazısı (kullanıcı açık bırakmışsa)
Bu sınırlı veriler bile, bir hesabın işletim sistemi (Android/iOS), hesap yaşı ve bağlı cihaz sayısı gibi ek bilgilerinin çıkarılmasına olanak tanıdı.
Ayrıca araştırma, küresel ölçekte ilginç bulgular ortaya koydu:
-
WhatsApp’ın resmi olarak yasaklandığı Çin, İran ve Myanmar gibi ülkelerde bile milyonlarca aktif hesap bulundu.
-
Küresel kullanıcıların %81'i Android, %19'u ise iOS kullanıyor.
-
Bazı hesaplarda farklı cihazlarda aynı kriptografik anahtarların tekrarlandığı görüldü; bu durum üçüncü taraf WhatsApp istemcilerinde güvenlik zafiyeti olabileceğine işaret ediyor.
-
2021’de Facebook’ta sızdırılan 500 milyon telefon numarasının yaklaşık yarısının WhatsApp’ta hâlâ aktif olduğu belirlendi.
Mesaj İçerikleri Etkilenmedi
Araştırmacılar hiçbir özel mesaj içeriğine erişmedi; tüm veriler analiz sonrası tamamen silindi. WhatsApp mesajları uçtan uca şifreli olduğu için içeriklerin güvende olduğu vurgulandı. Ancak uzmanlar, meta verilerin (zaman bilgisi, aktiflik, cihaz türü gibi) büyük ölçekte toplanması durumunda kullanıcı gizliliğinin ciddi biçimde tehlikeye girebileceğini belirtiyor.
Meta: “Sistemimizi Stres Testinden Geçirdi”
WhatsApp Mühendislik Başkan Yardımcısı Nitin Gupta, araştırmacılara teşekkür ederek şu açıklamayı yaptı:
“Bu çalışma, planladığımız sınırların ötesine geçen yeni bir sayım tekniğini ortaya koydu. Uyguladığımız koruma sistemlerinin etkili olduğunu doğruladık ve araştırmacıların topladığı tüm verilerin güvenle silindiğini teyit ettik. Kullanıcı mesajlarının uçtan uca şifreleme ile korunduğunu bir kez daha hatırlatmak isteriz.”
“Güvenlik Bir Kez Çözülen Bir Sorun Değil”
Araştırma ekibi, keşfin yalnızca WhatsApp için değil, genel olarak popüler iletişim platformlarının güvenlik anlayışı için de uyarıcı olduğunu belirtiyor.
Gegenhuber, “Bu bulgular, çok kullanılan sistemlerde bile gerçek hayatı etkileyebilecek tasarım hatalarının bulunabileceğini gösteriyor. Güvenlik ve gizlilik sürekli yeniden değerlendirilmesi gereken bir süreçtir.” ifadelerini kullandı.
Aynı Ekibin Üçüncü WhatsApp İncelemesi
Viyana Üniversitesi ekibi, daha önce de iki önemli çalışma yayınlamıştı:
-
Careless Whisper (RAID 2025 Ödüllü): Sessiz teslimat bildirimleri üzerinden kullanıcı davranışlarının izlenebileceğini ortaya koydu.
-
Prekey Pogo (WOOT 2025): WhatsApp’ın ön anahtar mekanizmasındaki zayıflıkları inceledi.
Yeni çalışma ise bu araştırmaları küresel ölçekte genişleterek, WhatsApp’ın iletişim keşif mekanizmasının yanlışlıkla büyük çaplı kullanıcı sayımına imkân verebileceğini gösteriyor.
Bilimsel Yayın Bilgisi
“Merhaba! WhatsApp Kullanıyorsunuz: Güvenlik ve Gizlilik İçin Üç Milyar Hesabın Sayımı”
Yazarlar: Gabriel K. Gegenhuber, Philipp É. Frenzel, Maximilian Günther, Johanna Ullrich, Aljosha Judmayer
Yayın: NDSS 2026
