WhatsApp sistemlərində kritik zəiflik qlobal istifadəçi bazasının – təxmini 3,5 milyard nəfərin – profil məlumatlarını və telefon nömrələrini açıqlamağa imkan verib. Bu kəşf Vyanada (Avstriya) universitetinin ekspertləri tərəfindən aparılmış tədqiqatda ətraflı təsvir olunub. Alimlər pozuntunu aşkar edib və onun 245 ölkədə miqyasını xəritələşdiriblər.

Tədqiqat göstərib ki, zəiflikdən istifadə etməklə təkcə hesablarla əlaqəli telefon nömrələrinə deyil, həm də profil şəkillərinə və açıq status mətnlərinə daxil olmaq mümkün olub. Tətbiqin ən böyük bazarlarından biri olan Braziliya (təxminən 206 milyon aktiv hesab) birbaşa təsirlənən ölkələrdən biri olub.

Meta (WhatsApp-ın ana şirkəti) problem barədə məlumatlandırılıb və 2025-ci ilin sentyabrında, tədqiqatçıların sınaq dövründən bir neçə ay sonra son düzəlişləri tətbiq edib. Kiber cinayətkarlar tərəfindən geniş şəkildə istifadə edildiyinə dair heç bir sübut olmasa da, tədqiqat kommunikasiya platformalarında metadata idarəetməsi ilə bağlı risklər barədə xəbərdarlıq edir.

Kəşfin metodologiyası

Alimlərin zəifliyin miqyasını müəyyənləşdirmək üçün istifadə etdiyi metod brute-force (brutal qüvvə) üsulu əsasında qurulub. Proses müxtəlif ölkələrdəki telefon nömrələrinin standartlarına uyğun rəqəmsal ardıcıllıqların avtomatik yaradılmasından ibarət idi.

Məsələn, Braziliyada səkkiz və doqquz rəqəmli kombinasiyalar sınaqdan keçirilib ki, bütün aktiv mobil xətləri əhatə etsin. Bu yanaşma qlobal miqyasda on milyardlarla potensial nömrənin ilkin siyahısını yaratmağa imkan verib.

Siyahı yaradıldıqdan sonra tədqiqatçılar WhatsApp serverlərinə birbaşa qoşulmaq üçün alternativ proqram təminatından istifadə ediblər. Bu proqram saniyədə 7000-ə qədər nömrəni yoxlayaraq, hansı nömrələrin aktiv hesaba bağlı olduğunu müəyyənləşdirib.

Platformada ilkin olaraq sürət məhdudiyyəti mexanizmlərinin olmaması bu qədər sürətli və tam məlumat toplamağa imkan verib və istifadəçi infrastrukturunu ciddi texniki maneələr olmadan xəritələşdirməyə kömək edib.

Braziliyada məlumatların açıqlanmasının miqyası

Tədqiqat Braziliya bazarında 206 milyon istifadəçinin potensial risk altında olduğunu göstərib. Toplanmış məlumatların təhlili ölkədə hesabların 81,4%-nin Android, qalan 18,6%-nin isə iPhone cihazlarında olduğunu ortaya qoyub. Bu rəqəmlər ölkədə smartfon bazarının paylanmasını əks etdirir və zəifliyin yalnız bir əməliyyat sistemi ilə məhdudlaşmadığını, geniş istifadəçi bazasını əhatə etdiyini göstərir.

Ən mühüm məlumatlardan biri profil şəkillərinin yüksək görünmə tezliyidir. Sorğuya görə, braziliyalı hesabların 61%-də profil şəkilləri nömrəni görən hər kəsə – hətta əlaqəyə əlavə etməsə belə – görünürdü. Şəkillərlə yanaşı, məxfilik parametrləri icazə verdiyi hallarda status mətnləri də qeydə alınıb. Bu məlumatlar telefon nömrəsi ilə birləşdirildikdə sosial mühəndislik hücumları və ya hədəflənmiş fişinq kampaniyaları üçün istifadə oluna bilər.

Metanın reaksiyası və qarşısının alınması tədbirləri

Tədqiqatçılarla Meta arasındakı əlaqə 2024-cü ilin sentyabrında, ilk zəiflik bildirişi göndərildikdə başlayıb. Lakin ilkin yumşaldıcı tədbirlər yalnız 2025-ci ilin avqustunda, avstriyalı komandanın vəziyyətin ciddiliyini bildirdikdən sonra həyata keçirilib.

Şirkət alimlərin Bug Bounty proqramı çərçivəsində verdiyi töhfəni tanıyıb və tədqiqat zamanı toplanmış bütün məlumatların təhlükəsizlik və etika protokollarına uyğun olaraq silindiyini təsdiqləyib.

Edilən düzəlişlər tətbiqin gündəlik istifadəsinə mənfi təsir göstərmədən kütləvi məlumat çıxarılmasının qarşısını almağa yönəlib. Meta vurğulayıb ki, söhbətlərin məzmunu həmişə end-to-end şifrələmə ilə qorunub və bu zəiflikdən təsirlənməyib.

Zəifliyin və düzəlişlərin qrafiki

İlk bildirişdən tam həllə qədər təxminən bir il keçib. Vyanada universiteti tərəfindən 2024-cü ilin sentyabrında rəsmi xəbərdarlıq edilib və mesajlaşma platformasının sistemlərində potensial pozuntu siqnalı verilib.

2024-cü ilin dekabrından 2025-ci ilin aprelinə qədər tədqiqatçılar bir neçə ölkədə sayğac testləri apararaq uğursuzluqların miqyasını sübut edib və ölçüb.

Meta kütləvi avtomatik axtarışlara qarşı ilk müdafiə mexanizmlərini yalnız 2025-ci ilin avqustunda tətbiq etməyə başlayıb – ilk əlaqədən təxminən bir il sonra.

Nəhayət, 2025-ci ilin sentyabrında şirkət profil və şəkillərə tanımayanların baxışına daha sərt məhdudiyyətlər tətbiq edərək müdafiəni genişləndirib. Bütün qlobal məlumatlarla tam tədqiqat noyabr 2025-ci ildə dərc olunub və zəiflik ictimaiyyətə məlum olub.

İstifadəçilərin məxfilik nəticələri

Mesajların şifrələnməsi pozulmasa da, telefon nömrəsi, profil şəkli, status və fəaliyyət məlumatları kimi metadataların açıqlanması istifadəçilərin məxfilik üçün ciddi risk yaradır. Öz-özünə zərərsiz görünən bu məlumatlar birləşdirildikdə insanların ətraflı profillərini yaratmaq üçün istifadə oluna bilər və spam kampaniyaları, fişinq hücumları və digər kiberhücumlar üçün asan hədəfə çevrilə bilər.

Qlobal istifadəçi sayımı məlumatları

Tədqiqat zamanı WhatsApp istifadəçilərinin bir neçə ölkədə ətraflı icmalı əldə edilib. Hindistan 749 milyon aktiv hesab ilə ən böyük bazar kimi seçilib, ardınca İndoneziya 235 milyonla gəlir.

Braziliyada xəritələşdirmə coğrafi məhdudiyyətsiz aparılıb və ölkənin bütün ərazisində rəqəmsal kombinasiyaları əhatə edib. Pik saatlarda server sorğularının həcmi saatda 100 milyon nömrəyə çatıb.

Platforma tərəfindən həyata keçirilən texniki düzəlişlər

Təhlükəsizliyi artırmaq üçün Meta şübhəli giriş modellərini daha effektiv aşkarlamaq üçün daxili alqoritmlərini tənzimləyib. Bu, fəaliyyət zaman damğalarının monitorinqini və şifrələmə açıq açarlarına giriş üsulunu əhatə edir ki, bu da gələcək kütləvi məlumat toplama cəhdlərinə qarşı əlavə qoruma səviyyəsi əlavə edir.